El formato de imagen EnCase es utilizado por el software forense de nombre Encase Forensics, con el propósito de almacenar diferentes tipos de evidencia digital; por ejemplo imagen de disco (flujos de bits de un disco capturado), imagen de volumen, memoria, y archivos lógicos.

Actualmente existen dos versiones del formato:

• Versión 1. Está (supuestamente) basado en el formato (ASR Data's Expert Witness Compression).
• Versión 2. Fue presentado con EnCase 7, para el cual la especificación del formato (al menos Ex01 sin encriptar) está disponible, pero requiere registro

El comando ewfinfo es parte del paquete libewf. libewf es una librería para soporte del formato EWF (Expert Witness Compression ). ewinfo muestra los metadatos almacenados en archivos EWF.

$ ls -l /media/sf_Images_DD /cfreds_2015_dlpc/

$ ewfinfo /media/sf_Images_DD /cfreds_2015_dlpc/ cfreds_2015_data_leakage_pc.E01

ewfmount también es parte del paquete libewf, este comando permite montar los datos almacenados en archivos EWF. Al ejecutar el comando ewfmount únicamente se define la ruta hacia el directorio donde se realizará el montado del archivo.

$ sudo ewfmount /media/sf_Images_DD /cfreds_2015_dlpc/ cfreds_2015_data_leakage_pc.E01 /mnt/e01/

$ sudo ls -l /mnt/e01/

Finalizado el montado del archivo en formato EWF, luego es necesario conocer la disposición del archivo con formato de imagen forense RAW; el cual se ubica en el directorio donde se realizó el montado del archivo en formato EWF. Para realizar este segundo montado se requiere calcular primero el “offset” o desplazamiento en bytes. El comando “mmls” correspondiente a la herramienta The Sleuth Kit permite realizar esto. “mmls” muestra la disposición de las particiones en un volumen, lo cual incluye tablas de partición y etiquetas de disco.

$ sudo mmls /mnt/e01/ewf1

$ sudo mount -o ro,loop,show_sys_files,streams_interface=windows,offset=105906176 /mnt/e01/ewf1 /mnt/windows_mount/

$ ls /mnt/e01/ewf1 /mnt/windows_mount/

Para calcular el “offset” o desplazamiento se debe multiplicar el sector donde inicia la partición por la cantidad de bytes asignado hacia un sector. Para el caso del archivo con formato de imagen forense RAW, la multiplicación es; 512 * 206848 = 105906176.

Obtenido el desplazamiento donde inicia el sistema de archivos a montar, se procede a utilizar el comando mount para realizar el montado. Se sugiere revisar la sección final del presente escrito (Fuentes), donde se encuentra una publicación donde se detalla como realizar el montado de una imagen forense en formato RAW

Realizado correctamente el montado del sistema de archivos, es factible recorrer todos sus archivos y carpetas utilizando la shell de comandos o el gestor de ventanas.

Fuentes:

https://forensicswiki.xyz/wiki/index.php?title=Encase_image_file_format
https://github.com/libyal/libewf
https://linux.die.net/man/8/mount
https://sansorg.egnyte.com/dl/rcC7AFiUr0
http://sleuthkit.org/
https://linux.die.net/man/1/ewfinfo
https://manpages.debian.org/unstable/ewf-tools/ewfmount.1.en.html
https://www.reydes.com/d/?q=Montar_una_Imagen_Forense_en_Formato_DD