Monte toutes les choses! – Montage d’images et de disquettes 4K sur MacOS 10.13 – mac4n6.com

Récemment, il y a eu quelques questions sur les forums et Twitter sur la façon de monter des images de disque médico-légales qui ont été capturées à partir du système Mac qui a implémenté des tailles de blocs 4k. Il y a quelques années, les systèmes Mac ont commencé à utiliser des blocs de 4k au lieu des blocs de 512 octets. Cela a causé quelques problèmes où vous avez besoin de monter l’image pour faire l’analyse sans une suite médico-légale majeure. BlackBag a écrit un bon article sur ce blog le mois dernier, mais j’espère développer un peu pour inclure les fichiers E01 et les scénarios de chiffrement FileVault.

Je vais également détailler comment monter la médecine légale disque images utilisant un nouveau système de fichiers APFS afin que les analystes puissent commencer à faire leur chose alors que tous les outils médico-légaux rattraper! Disque APFS les images semblent déjà utiliser les tailles de bloc 4k par défaut, au moins sur tous mes systèmes de test.


Si vous voyez le contraire, s’il vous plaît faites le moi savoir!

Cet article va essayer de fournir quelques options pour monter ces images, mais il ne peut pas résoudre tous les problèmes ou combinaisons de disques /tailles de bloc/ systèmes d’exploitation hôte – il semble que vous devrez passer à 10.13 à un moment donné pour résoudre un grand nombre de ces problèmes. Images HFS + 4k et FileVault

3. Utiliser xmount (sudo required) pour convertir du format EWF (–in) au format DMG (–out). DMG est sélectionné ici car il est très convivial pour Mac. Fournissez l’image E01 (utilisez E ?? si vous utilisez des segments) et le point de montage d’image converti créé à l’étape 1. Cela peut prendre quelques secondes si l’image disque est grande. Théoriquement, vous pouvez utiliser un autre montage utilitaire, j’ai essayé ewfmount sur 10.13 et a couru dans des erreurs que j’étudie toujours. Vous avez des problèmes pour installer Xmount? Est-ce que ça dit OS X Fuse n’est pas installé? Regardez dans la section des commentaires pour un correctif.

4. En utilisant hdiutil, attacher (mais pas encore monter) le fichier DMG créé à l’étape 3. En utilisant l’argument caché -blocksize, nous pouvons spécifier 4096 (‘4k’ peut aussi être utilisé ici). Il est à noter ici que, bien que caché dans 10.13, cette option ne semble pas exister dans les versions 10.12 de cet utilitaire. Il n’est également pas détaillé dans la page de manuel hdiutil. Je dois aimer la fonctionnalité cachée! Cela générera un tas d’options / dev / disk *, mais aucune de celles-ci n’est celle dont vous avez besoin grâce à CoreStorage.

Une approche similaire peut être utilisée pour les nouveaux APFS images de disque. Toute personne qui a essayé de capturer ses images de disque en 10.13 pourrait avoir eu un problème en raison de la protection de l’intégrité du système (SIP). SIP protège maintenant / dev et rendra probablement l’acquisition et l’analyse médico-légales plus difficiles s’il vous arrive d’interagir avec / dev souvent. Correction facile – désactiver SIP. Bien qu’il ne soit pas techniquement bon à des fins de sécurité, il peut être une douleur générale dans le postérieur. Pour le désactiver, redémarrez en mode de récupération, ouvrez le terminal et tapez ‘csrutil disable’ et redémarrez le système. Oui, vous pouvez le réactiver plus tard avec ‘csrutil enable’.

Parce qu’il est si semblable au processus ci-dessus, ma description de chaque étape ici sera limitée. À l’étape 4, nous n’avons pas besoin d’utiliser -blocksize, car cela fonctionne sans cela. À l’étape 5, au lieu de ‘diskutil cs list’, nous utilisons ‘diskutil ap list’ – APFS n’utilise pas CoreStorage (cs) et utilise plutôt la conteneurisation APFS (ap). Le ‘ap’ sera également utilisé à l’étape 6. L’étape 7 utilise mount_apfs au lieu de mount_hfs pour des raisons évidentes et sera utilisé sur / dev / disk6s1 comme indiqué dans l’exemple de capture d’écran ci-dessous.