Gui voor ddrescue
Er is een kleine grafische schil in Python voor ddrescue. Het is via de terminal te installeren met volgende commando's :

# sudo add-apt-repository ppa:hamishmb/myppa
# sudo apt-get update
# sudo apt-get install ddrescue-gui


Verklein Pdf-bestanden
Om Pdf bestanden te verkleinen, vb. wanneer een database alleen kleine bestanden toelaat voor upload/import, kan je volgende commando gebruiken :

# gs -dNOPAUSE -dBATCH -sDEVICE=pdfwrite -dCompatibilityLevel=1.4 -dPDFSETTINGS=/screen -sOutputFile=output.pdf input.pdf

Uiteraard gaat de kwaliteit achteruit bij het verkleinen van het bestand.
Ubuntu : Paladin Edge
Paladin Edge is een handige (forensische) Live DVD (64-bit) voor het kopiëren van iMac's en andere Apple-toestanden. Deze linuxversie is een freeware en geen Open Source. Let dus op bij het aanpassen en verspreiden van deze distro. De iso is gratis te downloaden. Er is ook een USB-versie waarvoor je moet betalen. Zelf kun je de gratis iso op een USB-stik schrijven met Unetbootin. (# sudo apt-get install unetbootin)
Let ook op : Bij het aansluiten van een USB-device zal de distro automatisch mouten.
Als er nog andere disto's zijn, die goed zijn voor het kopiëren en onderzoeken Apple-apparaten, mag je dit altijd laten weten.
Ubuntu afsluiten via terminal
Er zijn verschillende manieren om je computer af te sluiten via terminal. Ik gebruik vooral de volgende :

Shutdown :

Onmiddellijk afsluiten :
# sudo shutdown -h now

In tien minuten afsluiten :
# sudo shutdown - h 10

Om 20:00 uur afsluiten :
# sudo shutdown - 20:00

Poweroff :
Is te gebruiken bij het afsluiten van een LiveCD. Bij het shutdown commando wordt er namelijk gevraagd om op "enter" te drukken na het uitwerpen van de LiveCD om de computer af te zetten. De computer zal stoppen op het 22ste uur.

# sleep 75600 ; sync ; sync; sudo poweroff --force
Tor Browser met PPA installeren
Net een handige PPA installatieprocedure gevonden voor de Tor Browser (anoniem surfen):
sudo add-apt-repository ppa:webupd8team/tor-browser
sudo apt-get update
sudo apt-get install tor-browser

Import PST in Thunderbird
In drie stappen kun je PST-bestanden importeren in Mozilla Thunderbird :

  1. De PST bestanden omzetten naar EML-bestanden :
    Dit staat hier al beschreven
    # readpst -D -M -b -o /map/voor/resultaat /pad/naar/bestand.pst

  2. Omdat alle geconverteerde EML-bestanden geen extensie hebben moet je eerst nog alle bestanden met een eml-extensie voorzien :


  3. Het importeren in Thunderbird doe je met de add-on "ImportExportTools" van Thunderbird.
    Na de installatie van de add-on, maak je een map aan in Thunderbird en klik je hierop rechts.
    Met het volgende pad import/export –> import all eml files from a directory –> also from its subdirectories importeer je de EML-bestanden.
Multiple whois-script
Heb je meerdere domeinnamen of IP-adressen waarvan je de eigenaar/provider wilt weten dan kan je het tooltje whois gebruiken.
Dit kun je installeren met :

# sudo apt-get install whois

Om het zonder script te gebruiken moet je gewoon het volgende ingeven :

# whois domeinnaam.com

Met een scriptje en een txt-bestandje kun je er meerdere in één keer opvragen.

#!/bin/bash
for domein in `cat domeinen.txt`
do
   echo $domein
    whois $domein > $domein.txt`
done


Gebruiken :
Kopieer script in een blanco bestand en noem het vb. domein.sh
start met
# sh domein.sh

Opmerkingen :
Geen "http://" en/of "www" gebruiken in het txt-bestand
Domeinnamen en/of Ip-adressen onder elkaar plaatsen in het txt-bestand.

SRIQ_dd (Start Raw Image in Qemu)
Ik heb een kleine Gui (grafisch tooltje) gemaakt voor het opstarten van een dd-image in Qemu. Je hebt hiervoor OpenGates nodig. Hoe je dit maakt kun je in een andere post op deze site terugvinden. Eveneens is het mogelijk om een dd van een gegevensdrager te koppelen, zodat eventueel tooltjes op deze volume kunnen gebruikt worden op de opgestarte image.

Om het tooltje te kunnen gebruiken heb je ook qemu-kvm nodig dat je eenvoudig kunt installeren met :
# sudo apt-get install qemu-kvm

Ook heb je Yad nodig. Hoe je dit moet installeren vind je terug in deze post op de site.

Downloaden van sriq_dd.tar.gz kan hier.
Raw images opstarten in Qemu
Een dd-image (forensische kopie) van een besturingssysteem kun je altijd proberen opstarten met de virtuele machine Qemu.
Hiervoor hebt u kvm-qemu nodig.
Installatie :

# sudo apt-get install qemu-kvm

Opstarten van een Image van Linux of Windows XP of ouder :

Voor het opstarten van de virtuele machine met de dd-image.

# kvm -hda /pad/naar/image.dd -m 1024

Opmerking :

handige opties zijn
-snapshot      maakt een snapshot, waardoor wijzingen naar een tijdelijk bestand geschreven worden.
-usbdevice disk:/pad/naar/image_usbstick.dd     koppelt een image van een usb-stick aan de image (met eventueel forensische tools)
-k nl-be        keyboard layout naar Belgisch Nederlands
-net none       geen netwerkverbinding activeren

Voorbeeld :

# kvm -hda /pad/naar/image.dd -usbdevice disk:/pad/naar/usbkey.dd -m 1024 -snapshot 

Wil je weten hoe het met o.a. met Windows 7 moet, want Windows 7 geeft een bluescreen bij bovenstaande methode, dan moet je op "Read More" klikken.
Mount hfs+ partitie in forensic image (dd)
Onlangs tot de vaststelling gekomen dat een hfs+ partitie binnen een raw-image of dd niet gewoon kan gemount worden met een -o loop, zoals hier wordt beschreven.

Om hfs+ te mounten hebben we kpartx nodig :
# sudo apt-get install kpartx

Werkwijze :
List de partities in de image:
# kpartx -l macbookpro.dd
loop1p1 : 0 409600 /dev/loop1 40
loop1p2 : 0 624470624 /dev/loop1 409640

map de partities aan block devices:
# kpartx -a -v macbookpro.dd
add map loop1p1 (254:0): 0 409600 linear /dev/loop1 40
add map loop1p2 (254:1): 0 624470624 linear /dev/loop1 409640

mount de hfs partitie:
# mount -o ro /dev/mapper/loop1p2 /mnt/mntpnt/