A menudo me encuentro con la pregunta: ¿cómo adjuntar una imagen Encase (.e01) a la máquina virtual como un disco de arranque primario? A veces, los expertos forenses digitales necesitan arrancar la imagen de la máquina de investigación. En realidad no es tan difícil, pero esta tarea tiene sus piedras ocultas, cuáles deben contarse.
Para este caso, usaré una VMware Workstation para Windows y VirtualBox para Linux como plataformas de virtualización.
Parte de Windows1. Abra FTK Imager y monte la imagen .e01 como un dispositivo
físico (solo) en modo de
escritura
2. Observe el nombre del dispositivo resultante. En este caso es un
PhysicalDrive33. Abra VMware Workstation y cree una nueva VM, pero
no cree un disco virtual (o elimine uno si existe). Debe elegir
Usar un asistente de
disco físico en nueva máquina virtual o agregar un nuevo disco virtual como primario a la máquina virtual existente. Recuerdas que nuestra imagen .e01 es
PhysicalDrive3 ahora
4. Entonces, solo necesita iniciar una VM y ver algo de magia de TI
Parte de Linux1. La herramienta más común que se usa para adjuntar imágenes .e01 es el script ewfmount.py. Pero hay una limitación importante: esta imagen se adjunta en
modo de solo lectura . Es inapropiado para la máquina virtual. Por lo tanto, utilizaremos el comando
xmount como:
sudo xmount --in ewf <path_to_image> --cache <path_to_cache_file> --out vdi <path_to_mount_point>
Las principales características de xmount para nosotros: monta la imagen en modo lectura-escritura y puede tomar muchos tipos de imágenes en la entrada. Puede verificar la sintaxis de xmount
aquí .
2. Ok, ahora tenemos una imagen .vdi en / mnt / windows_mount
3. Abramos un VirtualBox y creemos una nueva VM con nuestra imagen .vdi (elija el disco existente) como disco primario
4. Finalmente, simplemente inicie la VM y ¡disfrute!
