Forensics/Xmount - La Knowledge Base di Kurgan

Xmount

Xmount e` un tool Linux per montare i files delle immagini di Encase direttamente come dischi dentro un virtualizzatore, allo scopo di bootare la macchina sotto indagine. Ovviamente supporta il fatto di non alterare le immagini, usando una cache temporanea per le modifiche che verrebbero scritte sul disco.

La homepage di Xmount e` qui: https://www.pinguin.lu/index.php

Installazione

Installare Xmount dal sito indicato sopra (ci sono i binari in deb) altrimenti direttamente dalla vostra distro (Ubuntu 10.4 ce li ha dentro).
Verificare di avere installato FUSE (file system in userspace) che serve a xmount
Verificare che il proprio utente (quello che useremo per fare girare la VM) sia nel gruppo "fuse" (in Ubunutu di default non c'e`)

Montare una immagine di Encase per leggerla con Virtualbox

Per montare una immagine di Encase e leggerla poi come disco per Virtualbox, occorre lanciare Xmount cosi`:

xmount --in ewf --out vdi --cache ~/acquired/MyDisk.cache ~/acquired/MyDisk.E?? ~/mnt0

Che significa:

usa in ingresso il formato EWF (usato da Encase)
usa in uscita il formato VDI (usato da Virtualbox)
usa come cache per le scritture sul disco il file ~/acquired/MyDisk.cache
I files di input (file Exx) di Encase sono in ~/acquired/ e si chiamano MyDisk.E??
Il file VDI che xmount produce e che poi dovro` passare a Virtualbox e` in ~/mnt0 (notare che non e` un file "reale", e` simulato, e tutti gli accessi vanno attraverso xmount ai files di immagine di Encase e alla cache.

Esempio pratico

Questo piu` che altro e` utile a me, perche` e` un esempio che contiene i miei dati e percorsi...

Da eseguirsi come utente normale, non come root. Stando nella propria home.

mdir mnt
smbmount //mbuto64/my\ documents mnt
mkdir xmount
mkdir xmount/mnt
xmount --in ewf --out vdi --cache xmount/<nomeimmagine>.cache mnt/<cliente>/<immagine di encase>.E?? xmount/mnt/

A questo punto, ho montato come immagine VDI (che trovo in ~/xmount/mnt) una immagine di Encase che si trova fisicamente sul disco della macchina Mbuto64 (windows, dove e` installato Encase, ma questo e` incidentale) usando come cache un file dentro ~/xmount che si chiama con un nome sensato, cosi` alla prossima volta posso ricordarmelo e collegarlo alla giusta immagine.

Ora devo lanciare Virtualbox e creare un virtuale usando il disco VDI che sta dentro a ~/xmount/mnt.