I file Expert Witness Format (EWF), spesso salvati con estensione E01, sono molto comuni nelle indagini digitali ma molti tools non li sfruttano appieno.
Libewf è una libreria open source che supporta la lettura e la scrittura di formati EWF. Usando libewf e ewf-tools, possiamo facilmente creare e accedere a file EWF.
Spesso ewf-tools è già installato in molti sistemi operativi fatti per informatica forense e la sicurezza informatica esempio Kali Linux, ParrotOS Security ecc...
Dipendenze:
- libc6
- libewf2
- libfuse2
- libssl3
Installazione:
Comando di installazione per Debian:
sudo apt install libewf-dev ewf-tools
Comandi base:
Acquisizione di una disk image:
Installato il tool la prima cosa da fare è collegare il disco di destinazione con un disk writer, trovando il disco con lsblk.
Useremo ewfacquire per acquisire l'immagine del disco. L'opzione -t ci permette di dare la destinazione.
sudo ewfacquire -t PERCERSO DISCO /dev/sdc
Montaggio del disco:
Per fornire l'accesso diretto al disco copiato, bisogna montarlo. Per montare l'EWF useremo ewfmount, nota dipendenza che potete approfondire nel sito ufficiale di Kali Linux.
sudo mkdir /mnt/ewf
sudo chown NOME /mnt/ewf
ewfmount FILE E01 PER L'INDAGINE /mnt/ewf
cd /mnt/ewf
Famiglia EWF:
Come avrete intuito EWF-tools è un insieme di strumenti che appartengono alla libreria Libewf tra cui:
- ewfacquire
- ewfacquirestream
- ewfdebug
- ewfexport
- ewfinfo
- ewfmount
- ewfrecover
- ewfverify
Maggiori info qui!
In conclusione i file E01 vengono utilizzati per archiviare prove digitali tra cui immagini di volume, disk image, file logici ecc... Inutile dire che è vietato andare a conoscenza di file altrui senza autorizzazione!!!