Archive for July, 2008

Header Suche nach virtuellen Images

Wednesday, July 9th, 2008

Die Kombination aus find und file ermöglicht eine Suche nach Dateien über Header Analyse. In der Forensik besteht häufig der Wunsch, image Files von virtuellen Betriebssystemen zu finden. Während images von xen, kvm, qemu und Virtualbox (linux-version) problemlos gefunden werden, liefern Virtualbox unter Microsoft und Virtual PC lediglich den unbekannten Typ data. Legt man folgende Zeilen in die Datei /etc/magic (nicht /usr/share/file/magic!), so werden auch diese Header mit passenden Erkennungstexten gefunden:

# Sun VirtualBox unter Microsoft
4 string Sun\ xVM\ VirtualBox Sun VirtualBox Microsoft
#
# Microsoft Virtual PC
0 string conectix Microsoft Virtual PC
>28 string vpc

Ein geeigneter Suchbefehl um nach Images zu suchen:

find . -type f -print0 | xargs -0 file | egrep -i –color ‘(VMware4|VMware3|Qemu Image|Sun VirtualBox|innotek Virtualbox|Microsoft Virtual PC|x86 boot sector)’

Posted in News | Comments Closed

Encase Images unter Linux Mounten (Update)

Wednesday, July 2nd, 2008

Images die im Expert Witness Format (EWF) vorliegen können mit mount_ewf unter Linux gemountet werden. Dazu muss libewf und mount_ewf installiert werden. Diese Programme befinden sich nicht im Debian Repository und müssen manuell installiert werden.

Bezugsquelle: http://www.uitwisselplatform.nl/projects/libewf

libewf kann über mein Repository bezogen werden. Dazu ist folgender Eintrag in /etc/apt/sources.list notwendig:

deb http://www.hpmerkel.com/debian/ ./

mit aptitude install libewf libewf-tools können die Programme (i386) dann installiert werden.

Howto zum Download: mount_ewf.pdf

Posted in News | Comments Closed