Montando Imagens para Exame e Análise das evidências.

Uma imagem bit a bit de um disco é chamada de imagem raw. As imagens raw podem ser geradas de um disco inteiro com + de 1 partição chamadas de imagens raw físicas, pois geram uma imagem fiel do disco, não importando qual é o seu conteúdo. O outro tipo de imagem raw é chamado de imagem raw lógica, esta é gerada a partir de uma partição do disco físico (HD). Neste momento surge um problema pois o loopback do linux não monta imagens raw físicas (HD's) somente imagens raw lógicas, pois o loopback possui uma limitação simples, ele não interpreta a tabela de partições que está nos setores iniciais de uma imagem raw física. Para ser possível então contornar esta limitação do loopback é necessário executar alguns comando a fim de descobrir qual é a estrutura interna da imagem que pretendemos montar.
Um comando que pode auxiliar nesta tarefa é o sfdisk, vejamos:

# sfdisk -luS img-caso1-hd1.dd

Disco img-caso1-hd1.dd: não foi possível obter a geometria

Disco img-caso1-hd1.dd: 1216 cilindros, 255 cabeças, 63 setores/trilha

Aviso: a tabela de partições parece ter sido feita para

Cil/Cab/Set = */240/63 (em vez de 1216/255/63).

Para esta listagem será assumida aquela geometria.

Unidades = setores de 512 bytes, contando a partir de 0

Disp Boot Início Fim Cils Blocos Id Sistema

img-caso1-hd1.dd1   *        63  19519919   19519857   7  HPFS ou NTFS

img-caso1-hd1.dd2             0         –          0   0  Vazia

img-caso1-hd1.dd3             0         –          0   0  Vazia

img-caso1-hd1.dd4             0         –          0   0  Vazia
A saída do comando sfdisk mostra que a imagem raw física tem apenas uma partição iniciando no setor 63, é do tipo HPFS ou NTFS e que cada setor tem 512 bytes. Como mencionado anteriormente o loopback não compreende a tabela de partições, sendo assim, para montarmos a imagem raw lógica acima, necessitamos informar ao loopback onde ele deverá começar a ler a partição (offset). Para obtermos a resposta para esta questão será necessário efetuar um simples cálculo que é a multiplicação do setor inicial da partição pelo número de bytes por setor ( 63*512=32256), com este resultado faça:
# mount -o loop,ro,noexec,offset=32256 img-caso1-hd1.dd /mnt/part3

Para conferir os dados que estão na partição montada:
# ls /mnt/part3/

Arquivos de programas  Documents and Settings  ntldr

AUTOEXEC.BAT           hiberfil.sys            pagefile.sys

Bootfont.bin           hpdrivers.log           System Volume Information

boot.ini               IO.SYS                  WINDOWS

CONFIG.SYS             MSDOS.SYS

DELL                   NTDETECT.COM


Num segundo momento podemos nos deparar com uma imagem que tem mais de uma partição, como proceder destes casos? A metodologia a ser utilizada será a mesma. Abaixo temos a saida do comando sfdisk de uma imagem que possui 2 partições.
# sfdisk -luS pen1gb.dd

Disco pen1gb.dd: não foi possível obter a geometria
Disco pen1gb.dd: 123 cilindros, 255 cabeças, 63 setores/trilha

Unidades = setores de 512 bytes, contando a partir de 0
Disp Boot Início Fim Cils Blocos Id Sistema

pen1gb.dd1            63   1028159    1028097   b  W95 FAT32

pen1gb.dd2       1028160   1975994     947835  83  Linux

pen1gb.dd3             0         –          0   0  Vazia

pen1gb.dd4             0         –          0   0  Vazia
Neste caso, queremos montar as duas partições, para isso faça:
Para montar a primeira partição precisamos saber qual é o offset da mesma 63*512=32256
A partir deste momento estamos prontos para iniciar as rotinas de Exame e Análise das evidências.
										
Tags: Análise das Evidências, imagem física, imagem raw, loopback, Montando Imagens, mount, sfdisk