Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 13:13:41 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md

6.1 KiB
Raw Blame History

Bildakquisition & Mount

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

{% embed url="https://websec.nl/" %}

Akquisition

DD

#This will generate a raw copy of the disk
dd if=/dev/sdb of=disk.img

dcfldd

#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes

FTK Imager

Sie können den FTK-Imager hier herunterladen.

ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --description 'A description' --examiner 'Your name'

EWF

Sie können ein Festplattenabbild mithilfe der ewf tools generieren.

ewfacquire /dev/sdb
#Name: evidence
#Case number: 1
#Description: A description for the case
#Evidence number: 1
#Examiner Name: Your name
#Media type: fixed
#Media characteristics: physical
#File format: encase6
#Compression method: deflate
#Compression level: fast

#Then use default values
#It will generate the disk image in the current directory

Mount

Mehrere Typen

In Windows können Sie versuchen, die kostenlose Version von Arsenal Image Mounter (https://arsenalrecon.com/downloads/) zu verwenden, um das forensische Image zu mounten.

Raw

#Get file type
file evidence.img
evidence.img: Linux rev 1.0 ext4 filesystem data, UUID=1031571c-f398-4bfb-a414-b82b280cf299 (extents) (64bit) (large files) (huge files)

#Mount it
mount evidence.img /mnt

EWF

EWF

#Get file type
file evidence.E01
evidence.E01: EWF/Expert Witness/EnCase image file format

#Transform to raw
mkdir output
ewfmount evidence.E01 output/
file output/ewf1
output/ewf1: Linux rev 1.0 ext4 filesystem data, UUID=05acca66-d042-4ab2-9e9c-be813be09b24 (needs journal recovery) (extents) (64bit) (large files) (huge files)

#Mount
mount output/ewf1 -o ro,norecovery /mnt

ArsenalImageMounter

Es handelt sich um eine Windows-Anwendung zum Einhängen von Volumes. Sie können sie hier herunterladen https://arsenalrecon.com/downloads/

Fehler

  • cannot mount /dev/loop0 read-only in diesem Fall müssen Sie die Flags -o ro,norecovery verwenden
  • wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error. in diesem Fall ist das Einhängen fehlgeschlagen, da der Offset des Dateisystems sich vom Disk-Image unterscheidet. Sie müssen die Sektorengröße und den Startsektor finden:
fdisk -l disk.img
Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00495395

Device        Boot Start    End Sectors  Size Id Type
disk.img1       2048 208895  206848  101M  1 FAT12

Beachten Sie, dass die Sektorgröße 512 beträgt und der Start bei 2048 liegt. Mounten Sie dann das Image wie folgt:

mount disk.img /mnt -o ro,offset=$((2048*512))

{% embed url="https://websec.nl/" %}

Lernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!