En el caso donde un archivo de imagen dd o raw (por lo tanto un flujo de bit o imagen bit a bit desde un disco) está dividido en varios archivos, es necesario preparar un archivo el cual se montará utilizando el comando “mount”.

Si se tiene un imagen constituida por SCHARDT.001, SCHARDT.002, SCHARDT.003, SCHARDT.004, SCHARDT.005, SCHARDT.006, SCHARDT.007 y SCHARDT.008. No se puede aplicar directamente los comandos forenses pertinentes, porque en este caso no se tienen un único archivo sobre el cual ejecutar el comando “mount”.

Para montar archivos de imagen raw divididos se tienen tres posibilidades.

El primer método consiste en la concatenación de archivos individuales en un único archivo de imagen, lo cual permite ejecutar los comandos forenses conocidos sobre un único archivo. La obvia desventaja en este caso, es el espacio requerido para la operación, el cual debeá ser igual a la ocupada por la suma de los archivos individuales, desde los cuales se requiere hacer una copia, concatenándolos en un único archivo.

El comando a ejecutar es:

$ cat SCHARDT.* >> SCHARDT.dd

El resultado es una imagen de nombre SCHARDT.dd conteniendo el disco completo obtenido mediante la concatenación de segmentos de imagen individuales.

Con este archivo se puede proceder con las operaciones forenses requeridas.

El segundo método es utilizar el comando “affuse” de la suite Afflib. Este puede ser utilizado para montar una imagen en formato AFF. Este comando creará un tipo de imagen “virtual” (y por lo tanto visible para el sistema, pero no existe en la realidad), el cual puede ser montado.

El comando a ejecutar es:

$ affuse SCHARDT.001 /tmp/evidencia/

Este comando producirá dentro del directorio “/tmp/evidencia” un archivo conteniendo una imagen dd o raw hecha de la concatenación de lo diversos archivos constituyentes de la imagen real. Este archivo será visible como “SCHART.001.raw”, y podría ser utilizado como parámetro para el comando “mount”.

El tercer método para montar una imagen raw divida es utilizar la herramienta en línea de comando “xmount”. Similar al comando “affuse”, xmount crea un archivo virtual conteniendo la imagen hecha por la concatenación de los segmentos individuales constituyentes de la imagen real.

El comando es:

$ sudo xmount --in dd --out dd SCHARDT.* /tmp/evidencia/

Un archivo “virtual” de nombre “SCHART.dd” será creado dentro en el directorio /tmp/evidencia/. Este archivo puede ser montado utilizando los comandos pertinentes en modo de solo lectura.

Fuentes:

http://www.cfreds.nist.gov/
https://sourceforge.net/projects/afflib/
https://github.com/simsong/AFFLIBv3
https://pinguin.lu/xmount
http://linux.die.net/man/8/mount
http://www.deftlinux.net/
http://www.deftlinux.net/doc/EN-deft7.pdf