Crie uma máquina virtual a partir da imagem Encase

Navegue suas respostas
0

Eu usei o Encase para capturar uma imagem de disco em uma investigação forense. O problema é que um determinado aplicativo que reside na imagem não será executado se não estiver instalado corretamente. Eu quero inicializar a partir da imagem (uma máquina virtual) e, em seguida, operar com o aplicativo em questão.

Alguma idéia?

    
por opc0de 18.10.2014 / 16:08

3 respostas

3

Primeiro, verifique se a imagem do disco está no formato raw. O Encase já o armazena em formato raw ou poderá exportá-lo no formato bruto.

Para o VirtualBox, você pode usar o comando vboxmanage com o convertfromraw opção. Isso converte sua imagem de disco em um formato legível para o Virtualbox.

Certifique-se de sempre montar uma cópia da sua imagem em uma máquina real ou virtual, para que sua imagem original não seja comprometida.

Em seguida, você pode criar uma máquina virtual usando a imagem convertida como disco principal (para inicializar a partir dela) ou usar qualquer sistema operacional forense e montar o disco na VM para inspeção adicional.

Finalmente, encontrei três links que podem ser úteis:

por 18.10.2014 / 18:25
1

Para fazer a reconstrução virtual (usando um .e01 ou .dd / .img existente), faço o seguinte:

  • use o imager de ftk dos dados do Access (versão 3 ou posterior) para montar a imagem (windoze) ou você pode usar o mount image pro para fazer o mesmo
  • Para converter uma imagem bruta em vmdk, usei a seguinte ferramenta e ela funciona bem - link (FYI, para faça o oposto, converta vmdk em dd.
  • Você pode usar o VFC (computação forense virtual - link ) que criará a imagem virtual para você. Dependendo do layout da partição, localize a partição de inicialização ativa. Gere a VM e, em seguida, você pode abrir o .vmx usando o vmware player ou a estação de trabalho.
  • Isso permitirá converter a imagem .e01 ou dd / img em um .vmdk, inicializá-lo usando vmware e, em seguida, fazer a análise do aplicativo em qualquer aplicativo desejado por meio do .e01 reconstruído para .vmdk.
por 06.11.2014 / 13:20
0

Assim, você não precisa criar uma nova imagem. FAÇA TODOS OS PRÓXIMOS PASSOS COMO ADMINISTRADOR!

Monte a imagem .E01 usando o FTK Imager e forneça um cache de gravação . Observe em qual disco físico a imagem está montada.

A melhor opção é usar o comando 

vboxmanage.exe internalcommands createrawvmdk -filename "C:\SomePath\somefile.vmdk" -rawdisk \.\PhysicalDrive2

NOTA: O número da unidade física 2 é usado como exemplo, use qualquer unidade que ele indique no ftk.

O comando cria um ponteiro .VMDK para o arquivo de imagem montado. Agora você pode criar uma máquina dentro da caixa virtual, fornecer o SO correto e adicionar o ponteiro .VMDK no HDD. O sistema deve iniciar agora.

PROBLEMAS DE RESOLUÇÃO DE PROBLEMAS OBSERVAÇÃO:

Se as telas azuis do sistema puderem ser o controlador de disco rígido. Mude o controlador de SATA para IDE dentro das configurações da Máquina Virtual. Em seguida, tente alterar a caixa do controlador suspenso para ICH6.

Se o sistema for UEFI, você precisará verificar a caixa UEFI.

EXECUTE TUDO COMO ADMINISTRADOR! Essa pode ser uma razão pela qual ela não virtualizará.

Além desta boa aparência:)

    
por 01.12.2017 / 11:40

Tags

O administrador do Win7 desativado, tinha uma senha, não pode ativar Não é possível alterar o diretório com cd no DOS usando o Win7