Frequentemente encontro a pergunta: como anexar uma imagem do Encase (.e01) à máquina virtual como um disco inicializável primário? Às vezes, os especialistas em forense digital precisam inicializar a imagem da máquina de pesquisa. Na verdade, não é tão difícil, mas essa tarefa tem pedras escondidas, quais devem ser contadas.
Nesse caso, usarei uma estação de trabalho VMware para Windows e VirtualBox para Linux como plataformas de virtualização.
Parte do Windows1. Abra o FTK Imager e monte a imagem .e01 como um dispositivo
físico (somente) no modo
Gravável
2. Observe o nome do dispositivo resultante. Nesse caso, é um
PhysicalDrive33. Abra o VMware Workstation e crie uma nova VM, mas
não crie um disco virtual (ou remova um, se existir). Você precisa escolher o assistente
Usar um disco físico na nova VM ou adicionar um novo disco virtual como primário à VM existente. Você se lembra que nossa imagem .e01 agora é
PhysicalDrive3
4. Então, você só precisa iniciar uma VM e assistir a alguma mágica da TI
Parte Linux1. A ferramenta mais comum usada para anexar imagens .e01 é o script ewfmount.py. Mas há uma limitação rígida - essa imagem está sendo anexada no
modo somente leitura . É inapropriado para máquina virtual. Portanto,
usaremos o comando
xmount como:
sudo xmount --in ewf <path_to_image> --cache <path_to_cache_file> --out vdi <path_to_mount_point>
Os principais recursos do xmount para nós - ele monta a imagem no modo de leitura e gravação e pode levar muitos tipos de imagem na entrada. Você pode verificar a sintaxe xmount
aqui .
2. Ok, agora temos uma imagem .vdi em / mnt / windows_mount
3. Vamos abrir um VirtualBox e criar uma nova VM com nossa imagem .vdi (escolha o disco existente) como um disco primário
4. Finalmente, basta inicializar a VM e divirta-se!
