Unallocated of Free Space Afzonderen
Om de niet toegewezen of vrije ruimte af te zonderen gebruiken we sleuthkit en xmount (bij gebruik van ewf-bestanden).
Te installeren met :
# sudo apt-get install sleuthkit xmount

Gebruik

Om ons ewf-bestand om te zetten naar dd-bestand (raw)

# sudo xmount --in ewf ~/image.e?? /mnt/foo

Om het begin van onze partitie, waaruit we de vrije ruimte willen afzonderen, te bekomen.

# mmls /mnt/foo/image.dd

de vrije ruimte afzonderen met blkls (het getal 411648 is de start van de sector van de partitie, bekomen met mmls)

# sudo blkls -o 411648 /mnt/foo/image.dd > ~/Evidence/image.unalloc

Nadien kan je het gerecupereerde bestand doorzoeken met de gekende forensiche tools zoals scalpel, foremost, photorec,... etc.