Xmount
xmount
xmount (gesprochen: „cross-mount“, nicht „X-mount“) ist eine Software, die es ermöglicht, ein erstelltes Image im laufenden Betrieb in ein anderes Image-Format zu konvertieren. Dies ist zum Beispiel notwendig, um spezielle Image-Anforderungen von forensischer Software zu erfüllen oder von einem Image virtuell zu booten. Hierfür erstellt xmount mittels FUSE (Filesystem in Userspace) virtuelle Dateisysteme, die eine virtuelle Repräsentation des Eingabe-Images darstellen. Um dies umsetzen zu können, wird entweder ein Linux oder MacOS X Betriebssystem benötigt. Sowohl das Eingabe-Format, als auch das emulierte Ausgabe-Format, können durch den Nutzer festgelegt werden.
Eingabe-Images Formate können sein:
- raw DD
- EWF (Expert Witness Compression Format)
- AFF (Advanced Forensic Format)
Als Ausgabe können daraus erstellt werden:
- raw DD
- DMG
- VHD
- VirtualBox virtual disk file Format
- VmWare VMDK file Format
Besonders zu beachten ist, dass xmount virtuellen Schreibzugriff auf die Ausgabedateien, welcher in Cache-Dateien umgeleitet wird, unterstützt. Dies ermöglicht es durch QEMU, KVM, VirtualBox, VmWare oder ähnliche Virtualisierungen, von erlangten Festplatten-Images zu booten und live mit den Daten und der Software eines Images zu arbeiten.
Die Syntax von xmount lautet wie folgt:
xmount --in Quellformat QUELLE --out Zielformat ZIEL
Beispiel:
xmount --in ewf IMAGE.E?? --out dmg MOUNTPOINT
- Der Parameter “--in” akzeptiert aewf, aaff, raw, dd, aff und ewf (aewf und aaff sind Performance optimierte äquivalente Implementierungen zu ewf und aff)
- Der Parameter “--out” akzeptiert raw, dmg, vdi, vhd, vmdk, vmdks
- Eine vollständige Auflistung aller Parameter erhält man über den Aufruf xmount --info
Zu beachten:
- Das Zielverzeichnis (MOUNTPOINT) muss bereits existieren. Im Zweifel sollte es vor der Ausführung des Befehls explizit angelegt werden.
- Alle Teile eines Images müssen bei der Befehlsausführung angegeben werden. Sollte also mehr als ein Segment eines Images existieren (häufig bei EWF-Images der Fall), ist die Nutzung von command line Funktionalitäten zu empfehlen. In dem oben genannten Beispiel wurde hierfür die Maske „E??“ als Dateierweiterung angegeben. Ein „?“ steht in der Regel in der GNU/Linux command line für irgendein unbekanntes einzelnes Zeichen (A-z, 0-9). Zur Laufzeit des xmount-Befehls wird diese Angabe erweitert (auf z.B. IMAGE.E01, IMAGE.E02, IMAGE.E03,…) und somit für alle passenden Dateien in dem angegebenen Verzeichnis ausgeführt.
- Gemountete Images werden grundsätzlich schreibgeschützt eingehängt. Allerdings unterstützt xmount einen Schreibcache, der alle Schreibzugriffe auf das Image in eine Cache-Datei umleitet. Dieser muss jedoch explizit aktiviert werden.
Beispiel mit Schreibcache:
xmount --cache CACHE.ovl --in ewf IMAGE.E?? --out dmg MOUNTPOINT
Wird “--cache” später erneut auf dieselbe Cache-Datei angewendet, wird der zuvor angelegte Cache wiederverwendet. Wenn dies unerwünscht sein sollte, ist es auch möglich, die Option „--owcache“ zu nutzen. Hierdurch wird die Cache-Datei bei jeder Ausführung überschrieben.
