maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/basic-forensic-meth

Browse Source
This commit is contained in:
Translator 2025-07-23 09:14:32 +00:00
parent d9ae54a9fa
commit 8d112049f5
1 changed files with 118 additions and 67 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

185
src/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
View File

@ -5,94 +5,145 @@
## Acquisizione
> Acquisisci sempre in **sola lettura** e **calcola l'hash mentre copi**. Mantieni il dispositivo originale **bloccato in scrittura** e lavora solo su copie verificate.
### DD
```bash
#This will generate a raw copy of the disk
dd if=/dev/sdb of=disk.img
# Generate a raw, bit-by-bit image (no on-the-fly hashing)
dd if=/dev/sdb of=disk.img bs=4M status=progress conv=noerror,sync
# Verify integrity afterwards
sha256sum disk.img > disk.img.sha256
```
### dcfldd
### dc3dd / dcfldd
`dc3dd` è il fork attivamente mantenuto di dcfldd (DoD Computer Forensics Lab dd).
```bash
#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes
# Create an image and calculate multiple hashes at acquisition time
sudo dc3dd if=/dev/sdc of=/forensics/pc.img hash=sha256,sha1 hashlog=/forensics/pc.hashes log=/forensics/pc.log bs=1M
```
### FTK Imager
Puoi [**scaricare l'FTK imager da qui**](https://accessdata.com/product-download/debian-and-ubuntu-x64-3-1-1).
### Guymager
Imager grafico multithread che supporta output **raw (dd)**, **EWF (E01/EWFX)** e **AFF4** con verifica parallela. Disponibile nella maggior parte dei repository Linux (`apt install guymager`).
```bash
ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --description 'A description' --examiner 'Your name'
# Start in GUI mode
sudo guymager
# Or acquire from CLI (since v0.9.5)
sudo guymager --simulate --input /dev/sdb --format EWF --hash sha256 --output /evidence/drive.e01
```
### EWF
### AFF4 (Advanced Forensics Format 4)
Puoi generare un'immagine del disco utilizzando gli [**ewf tools**](https://github.com/libyal/libewf).
AFF4 è il formato di imaging moderno di Google progettato per prove *molto* grandi (sparse, riprendibili, native al cloud).
```bash
ewfacquire /dev/sdb
#Name: evidence
#Case number: 1
#Description: A description for the case
#Evidence number: 1
#Examiner Name: Your name
#Media type: fixed
#Media characteristics: physical
#File format: encase6
#Compression method: deflate
#Compression level: fast
# Acquire to AFF4 using the reference tool
pipx install aff4imager
sudo aff4imager acquire /dev/nvme0n1 /evidence/nvme.aff4 --hash sha256
#Then use default values
#It will generate the disk image in the current directory
# Velociraptor can also acquire AFF4 images remotely
velociraptor --config server.yaml frontend collect --artifact Windows.Disk.Acquire --args device="\\.\\PhysicalDrive0" format=AFF4
```
## Mount
### FTK Imager (Windows e Linux)
### Diversi tipi
In **Windows** puoi provare a utilizzare la versione gratuita di Arsenal Image Mounter ([https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)) per **montare l'immagine forense**.
### Raw
Puoi [scaricare FTK Imager](https://accessdata.com/product-download) e creare immagini **raw, E01 o AFF4**:
```bash
#Get file type
file evidence.img
evidence.img: Linux rev 1.0 ext4 filesystem data, UUID=1031571c-f398-4bfb-a414-b82b280cf299 (extents) (64bit) (large files) (huge files)
#Mount it
mount evidence.img /mnt
ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 \
--description 'Laptop seizure 2025-07-22' --examiner 'AnalystName' --compress 6
```
### EWF
### Strumenti EWF (libewf)
```bash
#Get file type
file evidence.E01
evidence.E01: EWF/Expert Witness/EnCase image file format
#Transform to raw
mkdir output
ewfmount evidence.E01 output/
file output/ewf1
output/ewf1: Linux rev 1.0 ext4 filesystem data, UUID=05acca66-d042-4ab2-9e9c-be813be09b24 (needs journal recovery) (extents) (64bit) (large files) (huge files)
#Mount
mount output/ewf1 -o ro,norecovery /mnt
sudo ewfacquire /dev/sdb -u evidence -c 1 -d "Seizure 2025-07-22" -e 1 -X examiner --format encase6 --compression best
```
### ArsenalImageMounter
### Imaging Cloud Disks
È un'applicazione Windows per montare volumi. Puoi scaricarla qui [https://arsenalrecon.com/downloads/](https://arsenalrecon.com/downloads/)
### Errori
- **`cannot mount /dev/loop0 read-only`** in questo caso è necessario utilizzare i flag **`-o ro,norecovery`**
- **`wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error.`** in questo caso il montaggio è fallito poiché l'offset del filesystem è diverso da quello dell'immagine del disco. È necessario trovare la dimensione del Settore e il Settore di avvio:
*AWS* crea un **forensic snapshot** senza spegnere l'istanza:
```bash
aws ec2 create-snapshot --volume-id vol-01234567 --description "IR-case-1234 web-server 2025-07-22"
# Copy the snapshot to S3 and download with aws cli / aws snowball
```
*Azure* usa `az snapshot create` ed esporta in un URL SAS. Vedi la pagina HackTricks {{#ref}}
../../cloud/azure/azure-forensics.md
{{#endref}}
## Montare
### Scegliere l'approccio giusto
1. Monta il **disco intero** quando vuoi la tabella delle partizioni originale (MBR/GPT).
2. Monta un **file di partizione singola** quando hai bisogno solo di un volume.
3. Monta sempre in **sola lettura** (`-o ro,norecovery`) e lavora su **copia**.
### Immagini raw (dd, estratte da AFF4)
```bash
# Identify partitions
fdisk -l disk.img
Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00495395
Device Boot Start End Sectors Size Id Type
disk.img1 2048 208895 206848 101M 1 FAT12
# Attach the image to a network block device (does not modify the file)
sudo modprobe nbd max_part=16
sudo qemu-nbd --connect=/dev/nbd0 --read-only disk.img
# Inspect partitions
lsblk /dev/nbd0 -o NAME,SIZE,TYPE,FSTYPE,LABEL,UUID
# Mount a partition (e.g. /dev/nbd0p2)
sudo mount -o ro,uid=$(id -u) /dev/nbd0p2 /mnt
```
Nota che la dimensione del settore è **512** e l'inizio è **2048**. Quindi monta l'immagine in questo modo:
Stacca quando hai finito:
```bash
mount disk.img /mnt -o ro,offset=$((2048*512))
sudo umount /mnt && sudo qemu-nbd --disconnect /dev/nbd0
```
### EWF (E01/EWFX)
```bash
# 1. Mount the EWF container
mkdir /mnt/ewf
ewfmount evidence.E01 /mnt/ewf
# 2. Attach the exposed raw file via qemu-nbd (safer than loop)
sudo qemu-nbd --connect=/dev/nbd1 --read-only /mnt/ewf/ewf1
# 3. Mount the desired partition
sudo mount -o ro,norecovery /dev/nbd1p1 /mnt/evidence
```
In alternativa, converti al volo con **xmount**:
```bash
xmount --in ewf evidence.E01 --out raw /tmp/raw_mount
mount -o ro /tmp/raw_mount/image.dd /mnt
```
### LVM / BitLocker / VeraCrypt volumes
Dopo aver collegato il dispositivo a blocchi (loop o nbd):
```bash
# LVM
sudo vgchange -ay # activate logical volumes
sudo lvscan | grep "/dev/nbd0"
# BitLocker (dislocker)
sudo dislocker -V /dev/nbd0p3 -u -- /mnt/bitlocker
sudo mount -o ro /mnt/bitlocker/dislocker-file /mnt/evidence
```
### kpartx helpers
`kpartx` mappa automaticamente le partizioni da un'immagine a `/dev/mapper/`:
```bash
sudo kpartx -av disk.img # creates /dev/mapper/loop0p1, loop0p2 …
mount -o ro /dev/mapper/loop0p2 /mnt
```
### Errori comuni di montaggio e soluzioni
| Errore | Causa tipica | Soluzione |
|-------|---------------|-----|
| `cannot mount /dev/loop0 read-only` | FS journalizzato (ext4) non smontato correttamente | usa `-o ro,norecovery` |
| `bad superblock …` | Offset errato o FS danneggiato | calcola l'offset (`settore*dimensione`) o esegui `fsck -n` su una copia |
| `mount: unknown filesystem type 'LVM2_member'` | Contenitore LVM | attiva il gruppo di volumi con `vgchange -ay` |
### Pulizia
Ricorda di **umount** e **disconnettere** i dispositivi loop/nbd per evitare di lasciare mappature pendenti che possono corrompere ulteriori lavori:
```bash
umount -Rl /mnt/evidence
kpartx -dv /dev/loop0 # or qemu-nbd --disconnect /dev/nbd0
```
## Riferimenti
- Annuncio e specifiche dello strumento di imaging AFF4: https://github.com/aff4/aff4
- Pagina del manuale qemu-nbd (montaggio sicuro delle immagini disco): https://manpages.debian.org/qemu-system-common/qemu-nbd.1.en.html
{{#include ../../banners/hacktricks-training.md}}