Consejos y trucos de análisis forense digital: cómo conectar una imagen Encase a la máquina virtual 1

A menudo me encuentro con la pregunta: ¿cómo adjuntar una imagen de Encase (.e01) a la máquina virtual como un disco de arranque principal? A veces, los expertos en forense digital necesitan iniciar la imagen de la máquina de investigación. En realidad, no es tan difícil, pero esta tarea tiene sus piedras ocultas, cuáles deben contarse.

Para este caso, usaré una estación de trabajo VMware para Windows y VirtualBox para Linux como plataformas de virtualización.

Windows Part

1. Abra FTK Imager y monte la imagen .e01 como un dispositivo físico (solo) en modo de escritura

2. Observe el nombre de un dispositivo resultante. En este caso, es una unidad física3.

3. Abra VMware Workstation y cree una nueva máquina virtual, pero no cree un disco virtual (ni elimine uno si existe). Debe elegir Usar un disco físico en el asistente de nueva máquina virtual o agregar un nuevo disco virtual como principal a la máquina virtual existente. Recuerda que nuestra imagen .e01 es PhysicalDrive3 ahora

4. Entonces, solo necesitas iniciar una máquina virtual y ver algo de TI mágica

Linux Parte

1. La herramienta más típica que se usa para adjuntar imágenes .e01 es el script ewfmount.py. Pero hay una limitación importante: esta imagen se adjunta en modo de solo lectura . No es apropiado para máquinas virtuales. Por lo tanto usaremos xmount comando como:

sudo xmount --in ewf <path_to_image> --cache <path_to_cache_file> --out vdi <path_to_mount_point>

Las principales características de xmount para nosotros: monta la imagen en modo lectura-escritura y puede tomar muchos tipos de imágenes en la entrada. Puede comprobar la sintaxis de xmount aquí .

2. Ok, ahora tenemos una imagen .vdi en / mnt / windows_mount

3. Vamos a abrir una VirtualBox y crear una nueva VM con nuestra imagen .vdi (elija el disco existente) como disco primario

4. Finalmente, simplemente inicie la VM y ¡disfrutar!