El montar una imagen forense adquirida en formato .EWF puede ser realizada con la aplicación “ewfmount”. Este programa es capaz de virtualmente convertir archivos EWF hacia el formato en bruto, permitiendo al dispositivo ser montado como si fuese una imagen adquirida en formato dd.

Si se tiene un disco dividido en los siguientes archivos cfreds_2015_data_leakage_pc.E01, cfreds_2015_data_leakage_pc.E02, cfreds_2015_data_leakage_pc.E03, y cfreds_2015_data_leakage_pc.E04.

Utilizando el siguiente comando:

$ sudo ewfmount cfreds_2015_data_leakage_pc.E01 /tmp/evidencia/

Es posible concatenar la imagen divida y realizar una conversión virtual en el formato “raw”.

La operación generará como resultados la creación de un archivo en “/tmp/evidencia/ewf1”.

Este archivo será identificado por el sistema como un único archivo dd, aunque virtual, podría ser montado siguiendo el procedimiento respectivo.

$ sudo mount -t ntfs -o ro,loop,offset=$((512 * 206848)) /tmp/evidencia/ewf1 /tmp/windows

Fuentes:

http://www.cfreds.nist.gov/
https://www.pinguin.lu/index.php
http://www.forensicswiki.org/wiki/Libewf
http://www.deftlinux.net/
http://www.deftlinux.net/doc/EN-deft7.pdf