Je rencontre assez souvent la question: comment attacher une image Encase (.e01) à la machine virtuelle en tant que disque de démarrage principal? Parfois, un expert en criminalistique numérique a besoin de démarrer l'image de la machine de recherche. Ce n'est pas si difficile en fait, mais cette tâche a ses pierres cachées qui doivent être comptées.
Dans ce cas, j'utiliserai une VMware Workstation pour Windows et VirtualBox pour Linux comme plates-formes de virtualisation.
Partie Windows1. Ouvrez FTK Imager et montez l'image .e01 en tant que périphérique
physique (uniquement) en mode
inscriptible
2. Notez un nom de périphérique résultant. Dans ce cas, c'est un
PhysicalDrive33. Ouvrez VMware Workstation et créez une nouvelle machine virtuelle, mais
ne créez pas de disque virtuel (ou supprimez-en un s'il existe). Vous devez choisir
Utiliser un disque physique dans l'assistant Nouvelle VM ou ajouter un nouveau disque virtuel comme primaire à la VM existante. Vous vous souvenez que notre image .e01 est
PhysicalDrive3 maintenant
4. Il vous suffit donc de démarrer une machine virtuelle et de regarder un peu de magie informatique
Partie Linux1. L'outil généralement utilisé pour attacher des images .e01 est le script ewfmount.py. Mais il y a une limitation stricte - cette image étant attachée en
mode lecture seule . C'est inapproprié pour la machine virtuelle. Par conséquent, nous utiliserons la commande
xmount comme:
sudo xmount --in ewf <path_to_image> --cache <path_to_cache_file> --out vdi <path_to_mount_point>
Les principales caractéristiques de xmount pour nous - il monte l'image en mode lecture-écriture et il peut prendre beaucoup de types d'images en entrée. Vous pouvez vérifier la syntaxe xmount
ici .
2. Ok, maintenant nous avons une image .vdi dans / mnt / windows_mount
3. Ouvrons une VirtualBox et créons une nouvelle VM avec notre image .vdi (choisissez le disque existant) comme disque principal
4. Enfin, démarrez la VM et profitez-en!
