I file Expert Witness Format (EWF), spesso salvati con estensione E01, sono molto comuni nelle indagini digitali ma molti tools non li sfruttano appieno.
Libewf รจ una libreria open source che supporta la lettura e la scrittura di formati EWF. Usando libewf e ewf-tools, possiamo facilmente creare e accedere a file EWF.
Spesso ewf-tools รจ giร installato in molti sistemi operativi fatti per informatica forense e la sicurezza informatica esempio Kali Linux, ParrotOS Security ecc...

Dipendenze:
- libc6
- libewf2
- libfuse2
- libssl3
Installazione:
Comando di installazione per Debian:
sudo apt install libewf-dev ewf-tools
Comandi base:
Acquisizione di una disk image:
Installato il tool la prima cosa da fare รจ collegare il disco di destinazione con un disk writer, trovando il disco con lsblk.
Useremo ewfacquire per acquisire l'immagine del disco. L'opzione -t ci permette di dare la destinazione.
sudo ewfacquire -t PERCERSO DISCO /dev/sdc
Montaggio del disco:
Per fornire l'accesso diretto al disco copiato, bisogna montarlo. Per montare l'EWF useremo ewfmount, nota dipendenza che potete approfondire nel sito ufficiale di Kali Linux.
sudo mkdir /mnt/ewf
sudo chown NOME /mnt/ewf
ewfmount FILE E01 PER L'INDAGINE /mnt/ewf
cd /mnt/ewf
Famiglia EWF:
Come avrete intuito EWF-tools รจ un insieme di strumenti che appartengono alla libreria Libewf tra cui:
- ewfacquire
- ewfacquirestream
- ewfdebug
- ewfexport
- ewfinfo
- ewfmount
- ewfrecover
- ewfverify
Maggiori info qui!
In conclusione i file E01 vengono utilizzati per archiviare prove digitali tra cui immagini di volume, disk image, file logici ecc... Inutile dire che รจ vietato andare a conoscenza di file altrui senza autorizzazione!!!
