Ich stelle ziemlich oft die Frage: Wie kann ein Encase-Image (.e01) als primäre bootfähige Festplatte an die virtuelle Maschine angehängt werden? Manchmal muss ein Experte für digitale Forensik das Image der Forschungsmaschine hochfahren. Eigentlich ist es nicht so schwer, aber diese Aufgabe hat versteckte Steine, die gezählt werden müssen.
In diesem Fall verwende ich eine VMware Workstation für Windows und VirtualBox für Linux als Virtualisierungsplattformen.
Windows-Teil1. Öffnen Sie den FTK Imager und hängen Sie das .e01-Image als
physisches (einziges) Gerät im beschreibbaren Modus an
2. Beachten Sie einen resultierenden Gerätenamen. In diesem Fall handelt es sich um ein
PhysicalDrive33. Öffnen Sie VMware Workstation und erstellen Sie eine neue VM.
Erstellen Sie jedoch
keine virtuelle Festplatte (oder entfernen Sie eine, falls vorhanden). Sie müssen den Assistenten "
Physische Festplatte in neuer VM verwenden" auswählen oder der vorhandenen VM eine neue virtuelle Festplatte als primäre Festplatte hinzufügen. Sie erinnern sich, dass unser .e01-Image jetzt
PhysicalDrive3 ist
4. Sie müssen also nur eine VM starten und sich etwas IT-Magie ansehen
Linux-Teil1. Das am häufigsten verwendete Tool zum Anhängen von .e01-Bildern ist das Skript ewfmount.py. Es gibt jedoch eine einzige Einschränkung: Dieses Bild wird im
schreibgeschützten Modus angehängt. Es ist für virtuelle Maschinen ungeeignet. Daher verwenden wir den Befehl
xmount wie
folgt :
sudo xmount --in ewf <path_to_image> --cache <path_to_cache_file> --out vdi <path_to_mount_point>
Die Hauptmerkmale von xmount für uns - es stellt das Bild im Lese- / Schreibmodus bereit und kann bei der Eingabe viele Bildtypen annehmen. Hier können Sie nach der xmount-Syntax suchen.
2. Ok, jetzt haben wir ein .vdi-Image in / mnt / windows_mount
3. Öffnen Sie eine VirtualBox und erstellen Sie eine neue VM mit unserem .vdi-Image (wählen Sie eine vorhandene Festplatte aus) als primäre Festplatte
4. Zum Schluss einfach die VM hochfahren und genießen!
