◆シナリオ◆
E01 ファイル形式を dd ファイル形式に変換する方法を知っておく必要があります。
Linux ワークステーション上の E01 形式のフォレンジック イメージ ファイルを検査する.
ただし、E01 イメージ ファイルのフォレンジック検査が完全に機能するのは、フォレンジック ワークステーションが Linux ベースではなく Windows ベースである場合に限られます。Linux ワークステーション上で E01 ファイル形式のイメージ ファイルを調査するには、調査者は E01 イメージ ファイルを dd ファイル形式に変換する必要があります。
◆目的
E01 および dd は、ハードディスク、USB ドライブなどのストレージ デバイスのビット単位のコピーを保存するためのフォレンジック イメージ ファイル形式です。
Linux コマンドを使用して E01 ファイル形式を dd ファイル形式に変換する方法を理解できるようにすることです。
◆概要
xmount ツールについて、さらなる分析のために Linux ワークステーション上で E01 イメージ ファイルを dd イメージ ファイルに変換する方法を理解するのに役立ちます。
1.
対象の画像内のWindows_Evidence_001.E01ファイルを確認します。。
01ファイル形式のイメージ ファイルをddファイル形式に変換します。
これを行うには、 xmountツールをインストールする必要があります。
2.
ランチャー パネルから[ターミナル]アイコンをクリックして、コマンド ライン ターミナルを起動します。
3.
コマンドラインターミナルが起動します。アプリケーションをインストールするには、端末のroot権限が必要です。
そこで、「 sudo su 」と入力してEnterを押します。パスワードの入力を求められます。パスワードとして「toor 」と入力し、 Enterを押します。
ここで、次のスクリーンショットに示すように、ルート端末に入ります。
4.
xmountをインストールするには、コマンドapt-get install -y xmount を入力してEnterを押します。
※インターネット接続に問題が発生した場合は、コマンドifdown -aに続いてifup -aを実行します。次に、コマンドapt-get install -y xmountを実行します。
※別のプロセスが apt コマンドを使用している場合、apt-get install -y xmount コマンドは実行されません。このシナリオでは、Ubuntu Forensics仮想マシンを再起動し、 xmountのコマンドを実行すると、上記のスクリーンショットに示すように正常に実行されます。
5.
共有ディレクトリから証拠ファイルをマウントすることはできません。したがって、Windows_Evidence_001.E01ファイルを共有ディレクトリからUbuntu のホームディレクトリにコピーします。
6.
xmount を使用して E01 ファイルを変換してマウントするには、ターミナルでコマンドxmount --in ewf Windows_Evidence_001.E01 /home/jason/Documentsを実行します。このコマンドは、E01 ファイルを dd ファイルに変換し、Documentsフォルダーにマウントします。
注意
コマンドを実行する前に、マウント ディレクトリが空であることを確認してください。新しい空のフォルダーを作成し、作成した空のフォルダーの場所をマウント ディレクトリに指定することもできます。
7.
マウントされたドライブ (ここでは、Documents ) がシステム上に作成されます。
8.
次のスクリーンショットに示すように、マウントされたドキュメントディレクトリをクリックしてWindows_Evidence_001.ddファイルを見つけます。
9、
このようにして、E01 ファイルを dd ファイル形式に変換してさらに調べることができます。
10
調査者の次のタスクは、このファイルをマシンにマウントし、その内容を表示することです。証拠ファイルのマウントについては、次で説明します。
開いているウィンドウをすべて閉じます。