Otto: FAT32 Image mounten

Hallo,

ich habe ein Disk-Image in welches sich eine FAT32 Partition befindet. Dieses würde ich gern unter Linux mounten.

Probiert habe ich es mit:
mount -t vfat -o loop disk.img /mnt
liefert die Meldung wrong fs type, bad option, bad superblock on /dev/loop0

Ok. Ich werde bei den mount Optionen noch den Offset angeben müssen. Aber wie finde ich den raus?

Mit hexdump -C disk.img |grep --color "FAT" finde ich nicht mal den String FAT32.

Mit dem Windows Programm FTK-Imager kann ich das Image problemlos öffnen. Es wird mir die vorhandene FAT32 Partition angezeigt und auch der String FAT32 ist vorhanden.

ein fdisk -l disk.img liefert keine Informationen.

Jemand eine Idee wie ich das mounten unter Linux hin bekomme?

MfG
Otto

  1. moinmoin

    könnte dir die Beschreibung hier vllt weiterhelfen?

    Gruß Krischi

    1. Hi krischi,

      nein leider nicht. Beide Ansätze liefern mir keine Informationen.

      Otto

      1. hmmm....

        probier mal da
        http://www.forensicswiki.org/wiki/Mounting_Disk_Images#Linux

        sonst kann ich leider nicht weiterhelfen
        gruß Krischi

  2. Hi,

    ich habe ein Disk-Image in welches sich eine FAT32 Partition befindet.
    Mit hexdump -C disk.img |grep --color "FAT" finde ich nicht mal den String FAT32.

    sieht schlecht aus ...

    Mit dem Windows Programm FTK-Imager kann ich das Image problemlos öffnen. Es wird mir die vorhandene FAT32 Partition angezeigt und auch der String FAT32 ist vorhanden.

    Frage 1: Womit wurde das Image erzeugt? Wie ich lese, kann FTK Imager ja eine Reihe von putzigen Sonderformaten verarbeiten.
    Frage 2: Ist es ein Image nur einer FAT32-Partition, oder einer kompletten Disk mitsamt MBR, Partitionstabelle und einer Partition?

    Jemand eine Idee wie ich das mounten unter Linux hin bekomme?

    Back to the roots. Erst mal rausfinden, was das für ein Format ist.

    So long,
     Martin

    --
    Die letzten Worte des Fallschirmspringers:
    ELENDE SCHEISSMOTTEN!!
    1. Hi Der Martin,

      Frage 1: Womit wurde das Image erzeugt? Wie ich lese, kann FTK Imager ja eine Reihe von putzigen Sonderformaten verarbeiten.

      Habe ich keine Informationen drüber.

      Frage 2: Ist es ein Image nur einer FAT32-Partition, oder einer kompletten Disk mitsamt MBR, Partitionstabelle und einer Partition?

      Ja es ist ein Image von einer gesamten Disk.

      Back to the roots. Erst mal rausfinden, was das für ein Format ist.

      Das Linux Programm file liefert mir keine Informationen. Aufgrund der Dateiendung würde ich auf das hier schließen.

      MfG
      Otto

    2. moinmoin Martin,

      mit der Angabe des richtigen offset (und wie man den findet hab ich verlinkt) hätte es doch eigentlich gehen sollen? Das Thema interessiert mich jedenfalls auch. Bislang hatte ich keine Probleme mit dem mounten von Windoof-Laufwerken, aber wenn, dann sind Problemlösungen natürlich immer interessant. Irgendwelche Profitipps von dir dazu?

      Gruß Krischi

      1. Hallo,

        mit der Angabe des richtigen offset (und wie man den findet hab ich verlinkt) hätte es doch eigentlich gehen sollen?

        kommt drauf an.[tm]

        Bislang hatte ich keine Probleme mit dem mounten von Windoof-Laufwerken, aber wenn, dann sind Problemlösungen natürlich immer interessant. Irgendwelche Profitipps von dir dazu?

        So viel der Ehre ...
        Nee, im Ernst: Otto deutet an, dass das Image mit EnCase angefertigt sein könnte. Das ist der Beschreibung nach ein hochentwickeltes Programm, und ich bin mir ziemlich sicher, dass es die Daten in einem irgendwie verschlüsselten und/oder komprimierten Format speichert. Wenn das so ist, hast du keine Chance, das Image regulär zu mounten.
        Daher meine Frage, womit es erstellt worden ist, damit man gezielt ansetzen kann.

        Aber nun bin ich natürlich auch kein Daten-Forensiker, und die in dieser Branche eingesetzte Software ist mir sicher fremd. Daher kann ich auch keine handfesten Vorschläge machen, sondern nur eine Richtung andeuten.

        So long,
         Martin

        --
        Es sagte...
        ein korpulenter Lehrer zu einem Schüler, der ihn ein Fass genannt hatte: "Nein. Ein Fass ist von Reifen umgeben, ich dagegen von Unreifen."
        1. Hi Der Martin,

          Die e01 Dateien sind wohl komprimiert. Laut diesen Blog ist es wohl möglich die auch unter Linux zu mounten. Habe das jetzt noch nicht ausprobiert.

          Mit Sleuthkit (3.0.1) und den autpsy (2.21) Browser lassen sich die auch verarbeiten. Habe die aus dem Packman repo installiert. Allerdings gibt es beim starten einen Fehler bezüglich MD5, das scheint im Sleuthkit Paket zu fehlen.

          Damit ich das eigentliche Ziel nicht aus den Augen verliere mache ich es einfach unter Windows.

          Allen Helfern einen herzlichen Dank.

          MfG
          Otto

  3. Hi Otto,

    Zur Info: Habe durch zufalle gesehen das das FTK-Imager das e01 Image in ein dd Image konvertieren kann.

    (1)e01 Image laden
    (2)rechts klick auf das geladene Image und exportieren
    (3)gewünschte Einstellungen im Dialog wählen
    (4)Image kann nun mit Linux problemlos eingebunden werden.

    MfG
    Otto