Montaje de imágenes forenses cifradas con bitlocker

En este artículo les explicaré como montar una imagen forense de disco en formato EWF cifrada con bitlocker.

Preparación:

Para desarrollar este proceso necesitamos:

  • La imagen forense en formato ewf (Expert Witness Disk Image Format )
  • La clave de recuperación de la unidad de cifrado, esta se genera cuando se cifra el disco y debe ser suministrada por el dueño o administrador del equipo.
  • Herramientas

Instalamos dislocker y las herramientas para operar los archivos EWF

sudo apt install ewf-tools dislocker

Montaje:

Creamos una carpeta en la cuál montaremos la imagen forense.

sudo mkdir /mnt/ewfimages

Verificamos la información de la imagen suministrada.

ewfinfo ForensicImage.E01

Montamos la imagen en la carpeta creada previamente

sudo ewfmount ForensicImage.E01 /mnt/ewfimages/

listamos el contenido de la carpeta y encontraremos el archivo ewf1

sudo ls -lh /mnt/ewfimages

Validamos la tabla de particiones de la imagen

sudo gparted /mnt/ewfimages/ewf1

gparted nos mostrará una partición con el sistema de archivos bitlocker, en este caso /mnt/ewfimages/ewf1p4

Una vez identificada la partición que está cifrada con bitlocker damos doble clic.

Copiamos el valor correspondiente al primer sector para calcular el offset, este valor también lo podemos obtener con fdisk.

sudo fdisk -l /mnt/ewfimages/ewf1

Antes de intentar montar la partición analizaremos la metadata de la partición cifrada, para este propósito usaremos dislocker-metadata, a este comando le pasamos el offset -o y el volumen -V. El 512 corresponde al tamaño de cada sector, cuál pueden confirmar con el comando fdisl -l.

sudo dislocker-metadata -o $((1490944*512)) -V /mnt/ewfimages/ewf1

Hemos confirmado la existencia del volumen cifrado con bitlocker, ya es hora de montar la partición.

Creamos un punto de montaje para alojar el archivo de dislocker.

sudo mkdir decrypted_volume

Ejecutamos dislocker-fuse para crear un archivo virtual y de esta forma operar el disco. El archivo virtual creado con FUSE es una representación virtual del volumen descifrado.

sudo dislocker-fuse -p -O $((1490944*512)) -V /mnt/ewfimages/ewf1 decrypted_volume/

Si la ejecución es correcta, el sistema nos solicitará la clave de recuperación de bitlocker.

Ingresamos la clave, y si esta es correcta se creará un archivo llamado dislocker-file.

sudo ls -lh decrypted_volume

Con este archivo podemos ejecutar las actividades forenses usando Sleuth Kit como lo vimos en este artículo.

sudo fsstat decrypted_volume/dislocker-file

Si queremos montar el sistema de archivos para interactuar con los archivos, ejecutamos los siguientes comandos.

Creamos una carpeta en un disco con suficiente espacio disponible, preferiblemente un disco externo.

mkdir Files_Decrypted

Montamos la unidad

sudo mount -o loop,ro decrypted_volume/dislocker-file Files_Decrypted/

En la carpeta Files_Decrypted se encontrarán todos los archivos. Una vez finalicemos el análisis forense o la inspección del disco, desmontamos las unidades.

sudo umount Files_Decrypted

rm -rf Files_Decrypted/

sudo fusermount -u decrypted_volume

rm -rf decrypted_volume/

Este procedimiento también se puede realizar para imagenes en crudo (RAW) en ese caso no hay que ejecutar los primeros pasos y se inicia desde la identificación del offset.

Referencias:

Practical Forensic Imaging, Bruce Nikkel 2016

Deja un comentario