> CLIQUE AQUI PARA BAIXAR A FERRAMENTA <

Visite nosso INSTAGRAM ->> @institutopoincare

Em 2006, Joachim Metz criou o projeto LIBEWF enquanto trabalhava no Hoffmann Investigations.

A idéia era reescrever um trabalho anterior no formato de arquivo EnCase 4 de Michael Cohen, parte do PyFlag e do EWF, de Andrew Rosen. Ele foi atualizado para ler e gravar arquivos EnCase versão 1 a 7 .E01, arquivos EnCase 5 a 7 .L01, arquivos EnCase 7 .Ex01 e .Lx01 e arquivos SMART .s01. Libewf iniciou as especificações Extended EWF (EWF-X) para contornar as limitações do formato imposto pelo EnCase .E01.

Em 2007, David Loveall contribuiu com o mount_ewf.py para o projeto libewf. Este aplicativo permite uma montagem dos dados da mídia de armazenamento nos arquivos EWF em uma unidade virtual. Devido a problemas repetidos com o Python e o fuse Python-bindings no Mac OS X, parte da funcionalidade desses scripts foi reescrita no ewfmount. A partir da versão 2012, foi adicionado suporte para EWF versão 2 (.Ex01 e .Lx01).

EWF é um padrão na comunidade forense, em especial o formato E01, aceito em praticamente todas ferramentas forenses relevantes. 

Desde o início do projeto se vislumbrou a possibilidade de reparo dos segmentos gerados em uma imagem no formato EWF. Ele é nativo do ambiente Linux, contudo com a constante evolução dos sistemas operacionais, através do CYGWIN foi possível tornar o sistema Windows capaz de executar ferramentas nativas em ambientes específicos como o Linux.

Com isso fomos capazes através de projetos como o CYGWIN e MinGW, compilar e executar ferramentas como libewf, ffmpeg e outras.

O arquivo ewfrecover.zip disponibilizado, contém:

- ewfrecover.exe

- blibliotecas necessárias para compatibilidade da ferramenta: cygcrypto-1.1.dll, cygewf-3.dll, cygwin1.dll e cygz.dll

 

Manual ewfrecover  (versão original)

Exporta e corrige arquivos no formato E01 (EWF)

SYNOPSIS

ewfrecover

[

-A codepage

] [

-l arquivo de log

] [

-p buffer_size

] [

-t nome destino

] [

-hquvVx

ewf_files

DESCRIPTION

ewfrecover é um utilitário para reconstruir arquivos E01 (EWF) corrompidos.

ewfrecover é parte do pacote libewf package. libewf é uma biblioteca que acessa arquivos no formato E01 (EWF).

Opções:

-A codepage

Temos como opções de codepage: ascii (default), windows-874, windows-932, windows-936, windows-949, windows-950, windows-1250, windows-1251, windows-1252, windows-1253, windows-1254, windows-1255, windows-1256, windows-1257 or windows-1258

-h

apresenta a tela de ajuda

-l lquivos de log

Registra os erros encontrados e aplica algoritmos has nos registros

-p process_buffer_size

O tamanho default dos segmentos são aqueles encontrados no arquivo de origem, podendo ser alterados

-t target

nome do arquivo destino (default é recover)

-v

verbose documenta os processos para stderr

-V

Dados da versão

-x

Utiliza os dados do bloco em vez das funções de leitura e gravação em buffer

EXEMPLOS

ewfrecover somente, apresenta instruções breves de uso.

Reconstruindo o arquivo corrompido

ewfrecover imagem_corrompida.E01

ewfrecover 20120805

 

Export started at: Mon Aug  6 07:09:34 2012

 

This could take a while.

 

 

...

 

 

Export completed at: Mon Aug  6 07:09:34 2012

 

 

MD5 hash calculated over data:           d41d8cd98f00b204e9800998ecf8427e

ewfrecover: SUCCESS

Resultado em procedimentos com arquivos não corrompidos

ewfrecover imagem_sem_erros.E01

ewfrecover 20120805

 

EWF file(s) não está corrompido.

 

 

COPYRIGHT

O software foi traduzido e compilado por INSTITUTO POINCARÉ, baseado no código de Joachim Metz.

Copyright 2006-2014, Joachim Metz <Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo.>.

This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

 

 

Bibliografia

https://forensicswiki.xyz/wiki/index.php?title=Libewf