Convertir y Montar una Imagen Forense utilizando XMount-GUI

  • Posted on: 3 March 2015
  • By: ReYDeS

XMount-GUI permite la conversión al vuelo entre diversos tipos de imágenes de discos duros de entrada y salida. Xmount crea un sistema de archivos virtual utilizando FUSE (Filesystem in Userspace) el cual contiene una representación virtual de la imagen de entrada. La representación virtual puede estar en DD Bruto, formato de archivo de disco virtual de VirtualBox o en formato de archivo VMDK de VmWare. Las imágenes de entrada pueden estar en DD Bruto, EWF (Expert Witness Compression Formar) o AFF (Advanced Forensic Format). Adicionalmente, Xmount también soporta acceso de escritura virtual hacia archivos de salida el cual se redirecciona a un archivo cache. Esto posibilita iniciar imágenes de discos duros capturados utilizando QEMU, KVM, VirtuaBox, VmWare o similares.

Para la siguiente demostración se utilizará la imagen forense en formato E01 obtenida desde un Sistema Windows XP, la cual será convertida a formato VMDK de VmWare.

Hacer clic en “Menu -> Forensic Tools -> XMount-GUI” para ejecutar la herramienta requerida.

Seleccionar la imagen forense a convertir. Luego hacer clic en el botón de nombre “OK”.

Seleccionar los parámetros. El tipo de imagen del disco, el cual por defecto se define a “ewf”, pues XMount- GUI lo autodetecta. Se define también el tipo de disco virtual, el cual será el formato al cual se convertirá la imagen forense de entrada. Para esta demostración es “VMDK” de VmWare.

Seleccionar el directorio en el cual se creará el archivo cache para los cambios realizados sobre el disco.

La operación ha sido satisfactoria. El disco virtual ha sido montado en el directorio indicado.

En el directorio indicado es factible observar la creación de tres archivos, el primero corresponde a la imagen forense en bruto formato “dd”. El segundo archivo es de tipo informativo, y el tercer archivo corresponde al archivo de configuración para VmWare Player.

Se procede a visualizar el archivo de extensión *.info.

En la siguiente demostración se utiliza una máquina virtual Windows XP en VmWare Player donde se procede a añadir un nuevo disco duro, para luego iniciar el sistema operativo. Luego de lo cual será factible navegar a través de los archivos y carpetas contenidos en la imagen forense.

Fuentes:

http://scripts4cf.sourceforge.net/tools.html
https://code.google.com/p/yad/
http://fuse.sourceforge.net/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Curso de Informática Forense