Converter Imagem.E01 para Imagem no Formato RAW

Opa, e aí galera. Tudo beleza?

Dando uma passeada em alguns blogs sobre forense computacional, eu achei no blog do cientista Lance Mueller um post bem legal. Ele propõe um exercício prático de forense computacional. O link para esse post é: http://www.forensickb.com/2010/01/forensic-practical-exercise-3.html

E lá existe uma dica em um comentário que nós é bastante pertinente.
Se nós não temos acesso ao EnCase, podemos converter uma imagem .E01 em formato RAW usando o sleuthkit. Para isso, nós vamos usar a ferramenta img_cat. A primeira coisa que nós fizemos foi entrar no link do exercício prático proposto anteriormente e baixar o arquivo. A figura 1 mostra na tela que o arquivo é bem compacto, possui 7,1 MB.












Depois disso, digitamos na tela o seguinte comando.

• img_cat -v -i ewf [imagem.E01] > [imagem.dd]

OBS: troque o campo imagem.E01 pelo nome do seu arquivo. Aqui, nesse meu exemplo, eu o usei o nome Forensic_Practical_3.E01 e continuei com o nome imagem.dd. Então a linha de comando ficaria: img_cat -v -i ewf Forensic_Practical_3.E01 > imagem.dd

A figura 2 mostra na tela que o arquivo foi convertido para o formato RAW e um comparativo entre os 2 arquivos. Notem que anteriormente o arquivo original possuía pouco mais de 7 MB e agora o novo arquivo possui 3,8 GB. Isso acontece porque a extensão .E01 compacta o arquivo, deixando-o muito menor. Quando transformamos para o formato RAW (dd), ele volta ao tamanho normal, sem compactação.

A Figura 3 mostra na tela algumas informações sobre a imagem.