ディスクイメージをそのままマウントする
イメージファイルを直接マウントするなら下記のように実行。mount [image_file] [mount_point]
特定のパーティションをマウントする
ディスクイメージの中の特定パーティションのみマウントするにはまずオフセットを調べる。オフセットを調べるには fdisk または mmls を使用する。
fdisk -lu [image_file]
mmls [image_file]
mmls は sleuthkit.org で開発されている sleuthkit に入っているコマンド。SIFT ではデフォルトで使用可能。
マウントしたいパーティションの start となっている数値にセクタサイズ(通常512)をかけた数が offset となり、この値を mount コマンドで指定する。
mount -o loop,offset=[start*512] [image_file] [mount_point]
フォレンジック調査なら読み取り専用のオプション -o ro loop、ファイルタイプとして -t ntfs とか nls=utf8 とか付け加える。
E01 イメージの取り扱い
EnCase image file format で保全されたディスクイメージを扱いたい場合にいは SIFT に入っている ewfmount を使う。ewfmount により E01 イメージを dd イメージで操作できる。
ewfmount [e01_image_file] [mount_point]
E01 イメージが一つではなく複数に分割されている場合は末尾がE01のファイルを指定するだけ。
この状態で [mount_point] 配下に ewf1 という dd イメージファイルができ、それをマウントすることができる。 アンマウントは通常通り umount コマンドでできる。
イメージディスクの作成
イメージディスクの作成は下記コマンドで実行。dd if=[input_disk] of=[output_file] bs=512 obs=1024k count=[number] conv=sync,noerror
0 件のコメント:
コメントを投稿