> CLIQUE AQUI PARA BAIXAR A FERRAMENTA <
Visite nosso INSTAGRAM ->> @institutopoincare
Em 2006, Joachim Metz criou o projeto LIBEWF enquanto trabalhava no Hoffmann Investigations.
A idéia era reescrever um trabalho anterior no formato de arquivo EnCase 4 de Michael Cohen, parte do PyFlag e do EWF, de Andrew Rosen. Ele foi atualizado para ler e gravar arquivos EnCase versão 1 a 7 .E01, arquivos EnCase 5 a 7 .L01, arquivos EnCase 7 .Ex01 e .Lx01 e arquivos SMART .s01. Libewf iniciou as especificações Extended EWF (EWF-X) para contornar as limitações do formato imposto pelo EnCase .E01.
Em 2007, David Loveall contribuiu com o mount_ewf.py para o projeto libewf. Este aplicativo permite uma montagem dos dados da mídia de armazenamento nos arquivos EWF em uma unidade virtual. Devido a problemas repetidos com o Python e o fuse Python-bindings no Mac OS X, parte da funcionalidade desses scripts foi reescrita no ewfmount. A partir da versão 2012, foi adicionado suporte para EWF versão 2 (.Ex01 e .Lx01).
EWF é um padrão na comunidade forense, em especial o formato E01, aceito em praticamente todas ferramentas forenses relevantes.
Desde o início do projeto se vislumbrou a possibilidade de reparo dos segmentos gerados em uma imagem no formato EWF. Ele é nativo do ambiente Linux, contudo com a constante evolução dos sistemas operacionais, através do CYGWIN foi possível tornar o sistema Windows capaz de executar ferramentas nativas em ambientes específicos como o Linux.
Com isso fomos capazes através de projetos como o CYGWIN e MinGW, compilar e executar ferramentas como libewf, ffmpeg e outras.
O arquivo ewfrecover.zip disponibilizado, contém:
- ewfrecover.exe
- blibliotecas necessárias para compatibilidade da ferramenta: cygcrypto-1.1.dll, cygewf-3.dll, cygwin1.dll e cygz.dll
Manual ewfrecover (versão original)
Exporta e corrige arquivos no formato E01 (EWF)
SYNOPSIS
ewfrecover |
[ -A codepage ] [ -l arquivo de log ] [ -p buffer_size ] [ -t nome destino ] [ -hquvVx ] ewf_files |
DESCRIPTION
ewfrecover é um utilitário para reconstruir arquivos E01 (EWF) corrompidos.
ewfrecover é parte do pacote libewf package. libewf é uma biblioteca que acessa arquivos no formato E01 (EWF).
Opções:
-A codepage
Temos como opções de codepage: ascii (default), windows-874, windows-932, windows-936, windows-949, windows-950, windows-1250, windows-1251, windows-1252, windows-1253, windows-1254, windows-1255, windows-1256, windows-1257 or windows-1258
apresenta a tela de ajuda
-l lquivos de log
Registra os erros encontrados e aplica algoritmos has nos registros
-p process_buffer_size
O tamanho default dos segmentos são aqueles encontrados no arquivo de origem, podendo ser alterados
-t target
nome do arquivo destino (default é recover)
verbose documenta os processos para stderr
Dados da versão
Utiliza os dados do bloco em vez das funções de leitura e gravação em buffer
EXEMPLOS
ewfrecover somente, apresenta instruções breves de uso.
Reconstruindo o arquivo corrompido
ewfrecover imagem_corrompida.E01
ewfrecover 20120805
Export started at: Mon Aug 6 07:09:34 2012
This could take a while.
...
Export completed at: Mon Aug 6 07:09:34 2012
MD5 hash calculated over data: d41d8cd98f00b204e9800998ecf8427e
ewfrecover: SUCCESS
Resultado em procedimentos com arquivos não corrompidos
ewfrecover imagem_sem_erros.E01
ewfrecover 20120805
EWF file(s) não está corrompido.
COPYRIGHT
O software foi traduzido e compilado por INSTITUTO POINCARÉ, baseado no código de Joachim Metz.
Copyright 2006-2014, Joachim Metz <Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo.>.
This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
Bibliografia
https://forensicswiki.xyz/wiki/index.php?title=Libewf