[FAQトップ] [EnCase FAQ] [全般 FAQ] [その他] [Ji2 Home][Forensics]

文書番号：GA_I013 

最終更新日：2011/07/19 

質問：

回答：

対象イメージの形式によりマウント方法は異なります。

Raw(dd)形式であればmountコマンドを以下のように実行します。

# mount -o loop, ro, offset=パーティションの開始バイト イメージファイル マウントポイント

イメージファイルが物理イメージの場合は、fdisk -luコマンドやSleuthkitのmmlsを実行してパーティションの開始バイト位置を確認し、offsetの値として指定します。論理イメージの場合は上記のoffsetオプションの指定は不要です。

ファイル名に日本語が含まれる場合は、オプションにnls, codepage, iocharsetなどを指定することにより正常に表示させることが可能です。対象ファイルシステムがNTFSの場合はshow_sys_filesオプションも追加することにより、システムファイルの表示も可能となります。詳細は使用されている環境のmount, ntfs-3g等のman マニュアルを参照してください。また、イメージファイルの改変防止策として、ファイルのパーミッションを読み込み専用に設定しておくことを推奨します。
※特にジャーナルを採用しているファイルシステムのマウントには注意が必要になります※

EnCase証拠ファイル(E0)形式であればlibewfライブラリをインストールすることにより扱えるようになります。詳細な手順等は関連URLを参照してください。 

関連URL：

Digital Forensic SIFTing: How to perform a read-only mount of filesystem evidence
http://computer-forensics.sans.org/blog/2009/02/19/digital-forensic-sifting-how-to-perform-a-read-only-mount-of-evidence/

Mount EWF (E01) on Linux
http://stephenventer.blogspot.com/2009/05/mount-ewf-e01-on-linux.html

libewf
http://sourceforge.net/projects/libewf/

Libewf - Forensics Wiki 
http://www.forensicswiki.org/wiki/Libewf

Mounting Images Using Alternate Superblocks
http://computer-forensics.sans.org/blog/2008/12/18/mounting-images-using-alternate-superblocks/

Mounting Images Using Alternate Superblocks (Follow-Up)
http://computer-forensics.sans.org/blog/2009/10/05/mounting-images-using-alternate-superblocks-follow-up/

本文書（Forensics FAQ）に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。株式会社Ji2は、市場性および特定の目的への適合性を含めて明示的にも黙示的にも一切の保証をいたしません。株式会社Ji2は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。株式会社Ji2及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責 条項の範囲を狭めるものではありません。株式会社Ji2は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合があります。

Copyright (C) 2011 Ji2.Inc. All Rights Reserved.