Le fichier E01 est une image disque contenant des données récupérées depuis un support de données. Petit post sous forme de pense-bête personnel !
Quelle différence entre un RAW (.dd) et .E01 ?
E01 et RAW sont deux formats de fichier utilisés en digital forensics. Ils présentent toutefois des différences.
Voici un tableau comparatif entre les formats E01 et DD, deux des formats les plus couramment utilisés dans le domaine de la criminalistique informatique :
Caractéristique | E01 | DD |
---|---|---|
Nom complet | EnCase Evidence File (E01) | Raw Disk Image (DD) |
Extension de fichier | .e01 | .dd , .img , ou aucune extension |
Compression | Oui, prise en charge native | Non (fichier brut, non compressé) |
Métadonnées intégrées | Oui (informations détaillées sur l’image : date, horodatages, hachages, etc.) | Non (aucune métadonnée intégrée) |
Taille du fichier | Fractionnée en segments optionnels pour faciliter la gestion (par ex., 650 Mo par segment) | Taille brute égale à celle de la source. |
Utilisation typique | Examen forensique avec outils spécialisés | Sauvegarde brute ou copie rapide |
Validation d’intégrité | Intégrité assurée par des hachages intégrés et vérifiables (MD5/SHA1) | Nécessite une vérification externe des hachages. |
Prise en charge des outils | Large support par des outils forensiques comme EnCase, FTK, Autopsy, X-Ways, etc. | Universel, pris en charge par quasiment tous les outils. |
Structure du fichier | Contient des métadonnées, hachages, compression, etc. | Fichier brut sans structure interne. |
Simplicité d’accès | Nécessite des outils spécifiques pour décompression et analyse. | Directement accessible via des outils standards Linux (ex. mount ). |
Avantages | – Compact grâce à la compression. – Conserve des métadonnées importantes. – Segmentation pour faciliter le transfert. | – Simplicité et universalité. – Compatible avec tout système prenant en charge les fichiers bruts. |
Inconvénients | – Dépendance à des outils spécialisés pour lecture/montage. – Format propriétaire. | – Taille importante car non compressé. – Absence de métadonnées intégrées. |
Création d’image | Outils comme EnCase, FTK Imager, ewfacquire. | Commandes comme dd ou dcfldd sous Linux. |
Monter un .E01 sur Linux
- Installer la bibliothèque
ewf-tools
qui contient les outils pour gérer les images E01.
sudo apt-get install ewf-tools
- Créer un répertoire où le contenu brut de l’image sera monté (point de montage physique).
sudo mkdir -p /mnt/ewf_mount
- J’utilise
ewfmount
pour transformer l’image E01 compressée en un fichier brut (appelé/mnt/ewf_mount/ewf1
dans cet exemple).
sudo ewfmount /path/to/image.E01 /mnt/ewf_mount
Si tout fonctionne, un message du style « ewfmount 20140816 » sera affiché.
Un fichier ewf1 sera présent dans /mnt/ewf_mount/
sudo ls -alh /mnt/ewf_mount
- Je vais créer un autre répertoire pour monter le contenu logique (le système de fichiers). C’est le « point de montage logique ».
sudo mkdir -p /mnt/logical_mount
Je monte le fichier brut en lecture seule pour explorer le système de fichiers avec la commande suivante :
sudo mount -o ro,show_sys_files,streams_interface=windows /mnt/ewf_mount/ewf1 /mnt/logical_mount
Options :
ro
: Lecture seule pour garantir l’intégrité.show_sys_files
: Affiche les fichiers systèmes (cachés sous Windows).streams_interface=windows
: Traite les flux alternatifs de données (ADS).
- Je me déplace dans le répertoire du point de montage logique pour accéder aux données.
cd /mnt/logical_mount
ls -alh
Pourquoi deux points de montage ?
- Point de montage brut : Transforme l’image compressée E01 en un fichier brut exploitable.
- Point de montage logique : Permet d’accéder aux fichiers contenus dans ce fichier brut comme un système de fichiers ordinaire.
Cela garantit que je puisse analyser le contenu tout en maintenant l’intégrité de l’image d’origine.
Récaputilatif
Un schéma que je trouve bien fait, merci à Jake Williams
Démonter l’image
sudo umount /mnt/logical_mount
sudo umount /mnt/ewf_mount
Laisser un commentaire