Libewf
Acquisition d'un fichier EWF
La commande ewfacquire permet de copier un support vers un format EWF, donc en ajoutant diverses informations et en compressant le fichier résultat. Les options les plus intéressantes sont
- -c : mode de compression du résultat. Par défaut, deflate:none. L'option deflate:fast ne ralentit pas la copie (test réalisé avec un bloqueur d'écritures en USB2). Par contre, dans les mêmes conditions, l'option deflate:best divise par deux la vitesse de copie
- -C : identification du dossier
- -d : fonction de hachage à utiliser, en plus de MD5
- -e : nom de l'opérateur
- -E : identification du support copié
- -t : racine (sans extension) du résultat
- -q : mode silencieux
- -S : taille maximale des fichiers produits
L'option -S permet de définir la taille des différents fichiers qui vont contenir la copie. Par défaut, cette taille est de 1,4 Go, ce qui fait que la copie d'un disque de 1,5 To sera répartie sur plusieurs centaines de fichiers... Les performances d'accès au contenu du répertoire vont s'en ressentir.
La commande ewfacquire pose de nombreuses questions afin de déterminer la valeur de tous les paramètres nécessaires. L'option -u fait que les paramètres pour lesquels une valeur n'a pas été indiquée sur la ligne de commande prennent leur valeur par défaut.
$ ewfacquire -c deflate:fast -t USB /dev/sdc
ewfacquire 20170703
Device information:
Bus type: USB
Vendor: Generic
Model: lash Disk
Serial: 9
Storage media information:
Type: Device
Media type: Removable
Media size: 8.2 GB (8242855936 bytes)
Bytes per sector: 512
Acquiry parameters required, please provide the necessary input
Case number: Test
Description: Utilisation de ewfacquire
Evidence number:
Examiner name: B&A Consultants
Notes:
Media type (fixed, removable, optical, memory) [removable]:
Media characteristics (logical, physical) [logical]:
Use EWF file format (ewf, smart, ftk, encase1, encase2, encase3, encase4, encase5, encase6, encase7, encase7-v2, linen5, linen6, linen7, ewfx) [encase6]:
Start to acquire at offset (0 <= value <= 8242855936) [0]:
The number of bytes to acquire (0 <= value <= 8242855936) [8242855936]:
Evidence segment file size in bytes (1.0 MiB <= value <= 7.9 EiB) [1.4 GiB]: 3G
The number of bytes per sector (1 <= value <= 4294967295) [512]:
The number of sectors to read at once (16, 32, 64, 128, 256, 512, 1024, 2048, 4096, 8192, 16384, 32768) [64]:
The number of sectors to be used as error granularity (1 <= value <= 64) [64]:
The number of retries when a read error occurs (0 <= value <= 255) [2]:
Wipe sectors on read error (mimic EnCase like behavior) (yes, no) [no]:
The following acquiry parameters were provided:
Image path and filename: USB.E01
Case number: Test
Description: Utilisation de ewfacquire
Evidence number:
Examiner name: B&A Consultants
Notes:
Media type: removable disk
Is physical: yes
EWF file format: EnCase 6 (.E01)
Compression method: deflate
Compression level: fast
Acquiry start offset: 0
Number of bytes to acquire: 7.6 GiB (8242855936 bytes)
Evidence segment file size: 3.0 GiB (3221225472 bytes)
Bytes per sector: 512
Block size: 64 sectors
Error granularity: 64 sectors
Retries on read error: 2
Zero sectors on read error: no
Continue acquiry with these values (yes, no) [yes]:
Acquiry started at: Jan 06, 2018 01:01:59
This could take a while.
[ ... nombreux messages supprimés ... ]Acquiry completed at: Jan 06, 2018 01:06:38
Written: 7.6 GiB (8242857252 bytes) in 4 minute(s) and 39 second(s) with 28 MiB/s (29544291 bytes/second)
MD5 hash calculated over data: d24a120e8a7e5cce8799749d5f1b6545
ewfacquire: SUCCESS
$ ll --block-size=G
total 2G
-rw-r--r-- 1 user user 2G Jan 6 01:06 USB.E01Comme on peut le voir, un support de 8 Go rempli à 20% n'occupe plus que 2 Go après compression. Le gain n'est pas négligeable. Sur un disque de 1 Tio peu rempli, le gain peut se révéler encore plus impressionnant (un peu moins de 100 Gio au total).