Saya cukup sering menjawab pertanyaan: bagaimana cara melampirkan gambar Encase (.e01) ke mesin virtual sebagai disk bootable primer? Terkadang seorang ahli forensik digital perlu mem-boot image mesin yang diteliti. Sebenarnya tidak terlalu sulit, tetapi tugas ini memiliki batu tersembunyi yang mana yang harus dihitung.
Untuk kasus ini saya akan menggunakan VMware Workstation untuk Windows dan VirtualBox untuk Linux sebagai platform virtualisasi.
Bagian Windows1. Buka FTK Imager dan pasang gambar .e01 sebagai perangkat
fisik (hanya) dalam mode
Writable
2. Perhatikan nama perangkat yang dihasilkan. Dalam hal ini adalah
PhysicalDrive33. Buka VMware Workstation dan buat VM baru, tetapi
jangan membuat disk virtual (atau menghapusnya jika ada). Anda harus memilih
Gunakan Disk Fisik di wizard VM Baru atau menambahkan disk virtual baru sebagai primer ke VM yang ada. Anda ingat bahwa gambar .e01 kami adalah
PhysicalDrive3 sekarang
4. Jadi, Anda hanya perlu memulai VM dan menonton sihir IT
Bagian Linux1. Alat yang paling umum digunakan untuk melampirkan gambar .e01 adalah skrip ewfmount.py. Tetapi ada satu batasan keras - gambar ini dilampirkan dalam
mode Read-only . Ini tidak pantas untuk mesin virtual. Karena itu kami akan menggunakan perintah
xmount seperti:
sudo xmount --in ewf <path_to_image> --cache <path_to_cache_file> --out vdi <path_to_mount_point>
Fitur utama xmount bagi kami - ini me-mount gambar dalam mode Baca-Tulis dan dapat mengambil banyak jenis gambar pada input. Anda dapat memeriksa sintaks xmount di
sini .
2. Ok, sekarang kita memiliki gambar .vdi di / mnt / windows_mount
3. Mari kita buka VirtualBox dan membuat VM baru dengan gambar .vdi kami (pilih disk yang ada) sebagai disk utama
4. Akhirnya cukup boot VM dan nikmatilah!
