Monter une image .E01 sur Linux

Le fichier E01 est une image disque contenant des données récupérées depuis un support de données. Petit post sous forme de pense-bête personnel !

Quelle différence entre un RAW (.dd) et .E01 ?

E01 et RAW sont deux formats de fichier utilisés en digital forensics. Ils présentent toutefois des différences.

Voici un tableau comparatif entre les formats E01 et DD, deux des formats les plus couramment utilisés dans le domaine de la criminalistique informatique :

CaractéristiqueE01DD
Nom completEnCase Evidence File (E01)Raw Disk Image (DD)
Extension de fichier.e01.dd, .img, ou aucune extension
CompressionOui, prise en charge nativeNon (fichier brut, non compressé)
Métadonnées intégréesOui (informations détaillées sur l’image : date, horodatages, hachages, etc.)Non (aucune métadonnée intégrée)
Taille du fichierFractionnée en segments optionnels pour faciliter la gestion (par ex., 650 Mo par segment)Taille brute égale à celle de la source.
Utilisation typiqueExamen forensique avec outils spécialisésSauvegarde brute ou copie rapide
Validation d’intégritéIntégrité assurée par des hachages intégrés et vérifiables (MD5/SHA1)Nécessite une vérification externe des hachages.
Prise en charge des outilsLarge support par des outils forensiques comme EnCase, FTK, Autopsy, X-Ways, etc.Universel, pris en charge par quasiment tous les outils.
Structure du fichierContient des métadonnées, hachages, compression, etc.Fichier brut sans structure interne.
Simplicité d’accèsNécessite des outils spécifiques pour décompression et analyse.Directement accessible via des outils standards Linux (ex. mount).
Avantages– Compact grâce à la compression.
– Conserve des métadonnées importantes.
– Segmentation pour faciliter le transfert.
– Simplicité et universalité.
– Compatible avec tout système prenant en charge les fichiers bruts.
Inconvénients– Dépendance à des outils spécialisés pour lecture/montage.
– Format propriétaire.
– Taille importante car non compressé.
– Absence de métadonnées intégrées.
Création d’imageOutils comme EnCase, FTK Imager, ewfacquire.Commandes comme dd ou dcfldd sous Linux.

Monter un .E01 sur Linux

  • Installer la bibliothèque ewf-tools qui contient les outils pour gérer les images E01.
sudo apt-get install ewf-tools
    • Créer un répertoire où le contenu brut de l’image sera monté (point de montage physique).
    sudo mkdir -p /mnt/ewf_mount
    ewf_mount
    • J’utilise ewfmount pour transformer l’image E01 compressée en un fichier brut (appelé /mnt/ewf_mount/ewf1 dans cet exemple).
    sudo ewfmount /path/to/image.E01 /mnt/ewf_mount

    Si tout fonctionne, un message du style « ewfmount 20140816 » sera affiché.

    Un fichier ewf1 sera présent dans /mnt/ewf_mount/

    sudo ls -alh /mnt/ewf_mount
    • Je vais créer un autre répertoire pour monter le contenu logique (le système de fichiers). C’est le « point de montage logique ».
    sudo mkdir -p /mnt/logical_mount

    Je monte le fichier brut en lecture seule pour explorer le système de fichiers avec la commande suivante :

    sudo mount -o ro,show_sys_files,streams_interface=windows /mnt/ewf_mount/ewf1 /mnt/logical_mount

    Options :

    • ro : Lecture seule pour garantir l’intégrité.
    • show_sys_files : Affiche les fichiers systèmes (cachés sous Windows).
    • streams_interface=windows : Traite les flux alternatifs de données (ADS).
    • Je me déplace dans le répertoire du point de montage logique pour accéder aux données.
    cd /mnt/logical_mount
    ls -alh

    Pourquoi deux points de montage ?

    • Point de montage brut : Transforme l’image compressée E01 en un fichier brut exploitable.
    • Point de montage logique : Permet d’accéder aux fichiers contenus dans ce fichier brut comme un système de fichiers ordinaire.

    Cela garantit que je puisse analyser le contenu tout en maintenant l’intégrité de l’image d’origine.

    Récaputilatif

    Un schéma que je trouve bien fait, merci à Jake Williams

    Démonter l’image

    sudo umount /mnt/logical_mount
    sudo umount /mnt/ewf_mount

    Commentaires

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *