CarvFS auf dem Mac

CarvFS ist ein Dateisystem, das auf LibCarvPath und FUSE aufsetzt. Es kann beliebige Ausschnitte aus einem anderen Dateisystem als Dateien zugänglich machen. Vorwiegend unterstützt CarvFS daher das In-Place Carving. Ich verwende es aber auch häufig, um große strukturierte Dateien oder unbekannte Dateisysteme zu untersuchen. CarvFS lässt sich unter Linux problemlos compilieren; die Installation auf einem Mac erforderte aber einige Änderungen am Quellcode und den CMake Dateien. Mit einiger Hilfe durch Rob von der KLPD ist es mir schließlich gelungen, CarvFS unter OS X zu installieren. Die Patches veröffentliche ich in der Hoffnung, dass sie auch anderen helfen werden.

Für die Installation von CarvFS unter OS X benötigen Sie MacPorts und meine Portfiles..

Kopieren Sie zunächst das Archiv und entpacken Sie es in Ihrem HOME Verzeichnis. Führen Sie dann portindex aus, um die Meta-Daten in Ihre MacPorts-Installation zu integrieren. Installieren Sie nun die folgenden drei Pakete:

sudo port install libcarvpath carvfs carvfs-modewf

Möglicherweise wird MacPorts noch weitere Pakete wie zum Beispiel sqlite3 oder libewf installieren, um Abhängigkeiten zu erfüllen. Fügen Sie schließlich den Bibliothekspfad Ihrer MacPorts-Installation (üblicherweise ist das /opt/local/lib) zu der Umgebungsvariable DYLD_FALLBACK_LIBRARY_PATH hinzu:

export DYLD_FALLBACK_LIBRARY_PATH=/opt/local/lib

Jetzt können Sie Ihre erste EWF-Datei mit CarvFS laden:

> mkdir ~/mnt
> carvfs ~/mnt ewf auto myimage.E??
/Users/myname/mnt/2a99939f3a463faab0233bc6303194c8
> ls -l ~/mnt/2a99939f3a463faab0233bc6303194c8/
total 156301496
d--x--x--x 3 root wheel 0 1 Jan 1970 CarvFS/
-r--r--r-- 1 root wheel 80026361856 1 Jan 1970 CarvFS.crv
-rw-rw-rw- 1 root wheel 1134 1 Jan 1970 README

Dieses kleine Projekt war mein erster Versuch, ein PortFile für MacPorts zu erstellen. Auch die Anpassungen an den CMake-Dateien haben mir einige Mühe bereitet. Obwohl mittlerweile auf meinem Mac alles reibungslos funktioniert, sind die Patches sicherlich noch nicht gut genug, um sie dem MacPorts Projekt zur Verfügung zu stellen. Ich freue mich deshalb über alle qualifizierten Fehlermeldungen und Verbesserungsvorschläge.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12