El formato de imagen “RAW” o por su traducción al español en “bruto” o en “crudo”, es utilizado para almacenar una imagen de disco o volumen. Algunas variantes del formato de imagen RAW dividen los datos entre múltiples archivos segmentados, lo cual también es conocido como RAW Dividido.

El formato de imagen RAW es básicamente una copia bit por bit de los datos en Bruto, ya sea desde un disco o un volumen, sin ninguna adición o eliminación. No existen metadatos almacenados en el archivo del formato de imagen RAW. Por lo tanto algunas veces los metadatos son almacenados en archivos adicionales.

El formato de imagen RAW fue originalmente utilizado por la herramienta “dd”, pero es soportado por la mayoría de aplicaciones para forense de computadoras.

Para montar un sistema de archivos contenido en un archivo con formato de imagen forense RAW, se requiere calcular primero el “offset” o desplazamiento en bytes. El comando “mmls” correspondiente a la herramienta The Sleuth Kit permite realizar esto. “mmls” muestra la disposición de las particiones en un volumen, lo cual incluye tablas de partición y etiquetas de disco.

$ ls -l /media/sf_Images_DD /DataLeakage/cfreds_2015_data_leakage_pc.dd

$ mmls /media/sf_Images_DD /DataLeakage/cfreds_2015_data_leakage_pc.dd

Para calcular el “offset” o desplazamiento se debe multiplicar el sector donde inicia la partición por la cantidad de bytes asignado hacia un sector. Para el caso del archivo con formato de imagen forense RAW, la multiplicación es; 512 * 206848 = 105906176.

Obtenido el desplazamiento donde inicia el sistema de archivos a montar, se procede a utilizar el comando Mount para realizar el montado.

Se utiliza la opción “-o” con las siguientes opciones separadas por comas:

La opción “ro” realiza el montado en modo de solo lectura

La opción “loop” realiza el montado sobre el dispositivo “loop” (utilizado para archivos de imagen)

La opción “show_sys_files” muestra los archivos meta del volumen NTFS.

La opción “streams_interface=windows” utiliza flujos de datos alternos (ADS).

La opción ”offset” realiza el montado a partir de cierto byte del archivo de imagen. (Montado lógico)

Adicionalmente se define la ruta completa hacia el archivo con formato de imagen forense RAW, desde el cual se montará un sistema de archivos, además se define la ruta correspondiente al directorio donde se realizará el montado.

$ sudo mount -o ro,loop,show_sys_files,streams_interface=windows,offset=105906176 /media/sf_Images_DD /DataLeakage/cfreds_2015_data_leakage_pc.dd /mnt/windows_mount/

Realizado correctamente el montado del sistema de archivos, es factible recorrer todos sus archivos y carpetas utilizando la shell de comandos o el gestor de ventanas.

Fuentes:

https://forensicswiki.xyz/wiki/index.php?title=Raw_Image_Format
https://linux.die.net/man/8/mount
https://sansorg.egnyte.com/dl/rcC7AFiUr0
http://sleuthkit.org/
https://linux.die.net/man/1/dd