Montando Imagens para Exame e Análise das evidências.
Uma imagem bit a bit de um disco é chamada de imagem raw. As imagens raw podem ser geradas de um disco inteiro com + de 1 partição chamadas de imagens raw físicas, pois geram uma imagem fiel do disco, não importando qual é o seu conteúdo. O outro tipo de imagem raw é chamado de imagem raw lógica, esta é gerada a partir de uma partição do disco físico (HD). Neste momento surge um problema pois o loopback do linux não monta imagens raw físicas (HD's) somente imagens raw lógicas, pois o loopback possui uma limitação simples, ele não interpreta a tabela de partições que está nos setores iniciais de uma imagem raw física. Para ser possível então contornar esta limitação do loopback é necessário executar alguns comando a fim de descobrir qual é a estrutura interna da imagem que pretendemos montar.
Um comando que pode auxiliar nesta tarefa é o sfdisk, vejamos:
Disco pen1gb.dd: não foi possível obter a geometria
Disco pen1gb.dd: 123 cilindros, 255 cabeças, 63 setores/trilha
Unidades = setores de 512 bytes, contando a partir de 0
Disp Boot Início Fim Cils Blocos Id Sistema
pen1gb.dd1 63 1028159 1028097 b W95 FAT32
pen1gb.dd2 1028160 1975994 947835 83 Linux
pen1gb.dd3 0 - 0 0 Vazia
pen1gb.dd4 0 - 0 0 Vazia
Neste caso, queremos montar as duas partições, para isso faça:
Para montar a primeira partição precisamos saber qual é o offset da mesma 63*512=32256
# mount -o ro,loop,noexec,offset=32256 pen1bg.dd /mnt/part1
O offset da segunda partição encontramos multiplicando 1028160*512=526417920
# mount -o ro,loop,noexec,offset=526417920 pen1gb.dd /mnt/part2
A partir deste momento estamos prontos para iniciar as rotinas de Exame e Análise das evidências.
Uma imagem bit a bit de um disco é chamada de imagem raw. As imagens raw podem ser geradas de um disco inteiro com + de 1 partição chamadas de imagens raw físicas, pois geram uma imagem fiel do disco, não importando qual é o seu conteúdo. O outro tipo de imagem raw é chamado de imagem raw lógica, esta é gerada a partir de uma partição do disco físico (HD). Neste momento surge um problema pois o loopback do linux não monta imagens raw físicas (HD's) somente imagens raw lógicas, pois o loopback possui uma limitação simples, ele não interpreta a tabela de partições que está nos setores iniciais de uma imagem raw física. Para ser possível então contornar esta limitação do loopback é necessário executar alguns comando a fim de descobrir qual é a estrutura interna da imagem que pretendemos montar.
Um comando que pode auxiliar nesta tarefa é o sfdisk, vejamos:
# sfdisk -luS img-caso1-hd1.dd
Disco pen1gb.dd: 123 cilindros, 255 cabeças, 63 setores/trilha
Unidades = setores de 512 bytes, contando a partir de 0
Disp Boot Início Fim Cils Blocos Id Sistema
pen1gb.dd1 63 1028159 1028097 b W95 FAT32
pen1gb.dd2 1028160 1975994 947835 83 Linux
pen1gb.dd3 0 - 0 0 Vazia
pen1gb.dd4 0 - 0 0 Vazia
Neste caso, queremos montar as duas partições, para isso faça:
Para montar a primeira partição precisamos saber qual é o offset da mesma 63*512=32256
# mount -o ro,loop,noexec,offset=32256 pen1bg.dd /mnt/part1
O offset da segunda partição encontramos multiplicando 1028160*512=526417920
# mount -o ro,loop,noexec,offset=526417920 pen1gb.dd /mnt/part2
A partir deste momento estamos prontos para iniciar as rotinas de Exame e Análise das evidências.
Comment