Xmount
Xmount e` un tool Linux per montare i files delle immagini di Encase direttamente come dischi dentro un virtualizzatore, allo scopo di bootare la macchina sotto indagine. Ovviamente supporta il fatto di non alterare le immagini, usando una cache temporanea per le modifiche che verrebbero scritte sul disco.
La homepage di Xmount e` qui: https://www.pinguin.lu/index.php
Installazione
- Installare Xmount dal sito indicato sopra (ci sono i binari in deb) altrimenti direttamente dalla vostra distro (Ubuntu 10.4 ce li ha dentro).
- Verificare di avere installato FUSE (file system in userspace) che serve a xmount
- Verificare che il proprio utente (quello che useremo per fare girare la VM) sia nel gruppo "fuse" (in Ubunutu di default non c'e`)
Montare una immagine di Encase per leggerla con Virtualbox
Per montare una immagine di Encase e leggerla poi come disco per Virtualbox, occorre lanciare Xmount cosi`:
xmount --in ewf --out vdi --cache ~/acquired/MyDisk.cache ~/acquired/MyDisk.E?? ~/mnt0
Che significa:
- usa in ingresso il formato EWF (usato da Encase)
- usa in uscita il formato VDI (usato da Virtualbox)
usa come cache per le scritture sul disco il file ~/acquired/MyDisk.cache
I files di input (file Exx) di Encase sono in ~/acquired/ e si chiamano MyDisk.E??
- Il file VDI che xmount produce e che poi dovro` passare a Virtualbox e` in ~/mnt0 (notare che non e` un file "reale", e` simulato, e tutti gli accessi vanno attraverso xmount ai files di immagine di Encase e alla cache.
Esempio pratico
Questo piu` che altro e` utile a me, perche` e` un esempio che contiene i miei dati e percorsi...
Da eseguirsi come utente normale, non come root. Stando nella propria home.
mdir mnt smbmount //mbuto64/my\ documents mnt mkdir xmount mkdir xmount/mnt xmount --in ewf --out vdi --cache xmount/<nomeimmagine>.cache mnt/<cliente>/<immagine di encase>.E?? xmount/mnt/
A questo punto, ho montato come immagine VDI (che trovo in ~/xmount/mnt) una immagine di Encase che si trova fisicamente sul disco della macchina Mbuto64 (windows, dove e` installato Encase, ma questo e` incidentale) usando come cache un file dentro ~/xmount che si chiama con un nome sensato, cosi` alla prossima volta posso ricordarmelo e collegarlo alla giusta immagine.
Ora devo lanciare Virtualbox e creare un virtuale usando il disco VDI che sta dentro a ~/xmount/mnt.