Libewf
Page 3 sur 4
Manipulation de fichiers EWF
Si le stockage des données est éclaté sur plusieurs fichiers, on n'utilise toujours que le premier fichier (extension E01). Les outils ouvriront automatiquement les autres fichiers, dans le bon ordre, sans que nous ayons à nous en soucier.
Ewfinfo
La commande ewfinfo permet d'afficher les métadonnées incluses dans le fichier E01 examiné :
$ ewfinfo USB.E01
ewfinfo 20170703
Acquiry information
Case number: TestDescription: Utilisation de ewfacquire
Examiner name: B&A Consultants
Acquisition date: Sat Jan 6 01:01:59 2018
System date: Sat Jan 6 01:01:59 2018Operating system used: Linux
Software version used: 20170703
Password: N/A
Model: Flash DiskSerial number: 9
EWF information
File format: EnCase 6
Sectors per chunk: 64
Error granularity: 64
Compression method: deflate
Compression level: good (fast) compression
Media information
Media type: removable disk
Is physical: yes
Bytes per sector: 512
Number of sectors: 16099328
Media size: 7.6 GiB (8242855936 bytes)
Digest hash information
MD5: d24a120e8a7e5cce8799749d5f1b6545
Ewfverify
La commande ewfverify procède à la vérification du contenu, c'est-à-dire le contrôle des condensats. Selon la taille de la source, son exécution peut être longue.
$ ewfverify USB.E01
ewfverify 20170703
Verify started at: Jan 06, 2018 14:34:54
This could take a while.
[ ... nombreux messages supprimés ... ]
Verify completed at: Jan 06, 2018 14:36:03
Read: 7.6 GiB (8242855936 bytes) in 1 minute(s) and 9 second(s) with 113 MiB/s (119461680 bytes/second)
MD5 hash stored in file: d24a120e8a7e5cce8799749d5f1b6545
MD5 hash calculated over data: d24a120e8a7e5cce8799749d5f1b6545
ewfverify: SUCCESS