Manipulation de fichiers EWF

Si le stockage des données est éclaté sur plusieurs fichiers, on n'utilise toujours que le premier fichier (extension E01). Les outils ouvriront automatiquement les autres fichiers, dans le bon ordre, sans que nous ayons à nous en soucier.

Ewfinfo

La commande ewfinfo permet d'afficher les métadonnées incluses dans le fichier E01 examiné :

$ ewfinfo USB.E01
 ewfinfo 20170703

Acquiry information
    Case number:        Test
    Description:        Utilisation de ewfacquire
    Examiner name:      B&A Consultants
    Acquisition date:   Sat Jan  6 01:01:59 2018
    System date:        Sat Jan  6 01:01:59 2018
    Operating system used:    Linux
    Software version used:    20170703
    Password:           N/A
    Model:              Flash Disk
    Serial number:      9

EWF information
    File format:          EnCase 6
    Sectors per chunk:    64
    Error granularity:    64
    Compression method:   deflate
    Compression level:    good (fast) compression

Media information
    Media type:          removable disk
    Is physical:         yes
    Bytes per sector:    512
    Number of sectors:   16099328
    Media size:          7.6 GiB (8242855936 bytes)

Digest hash information
    MD5:            d24a120e8a7e5cce8799749d5f1b6545

Ewfverify

La commande ewfverify procède à la vérification du contenu, c'est-à-dire le contrôle des condensats. Selon la taille de la source, son exécution peut être longue.

$ ewfverify USB.E01 
ewfverify 20170703

Verify started at: Jan 06, 2018 14:34:54
This could take a while.

[ ... nombreux messages supprimés ... ]

Verify completed at: Jan 06, 2018 14:36:03

Read: 7.6 GiB (8242855936 bytes) in 1 minute(s) and 9 second(s) with 113 MiB/s (119461680 bytes/second)

MD5 hash stored in file:        d24a120e8a7e5cce8799749d5f1b6545
MD5 hash calculated over data:  d24a120e8a7e5cce8799749d5f1b6545

ewfverify: SUCCESS