Encaseイメージから仮想マシンを作成する
私はEncaseを使用して、フォレンジック調査でディスクイメージをキャプチャしました。問題は、イメージに存在する特定のアプリケーションが正しくインストールされていないと実行されないことです。イメージ(仮想マシン)から起動して、問題のアプリケーションで操作したいと思います。
何かアイデアはありますか?
まず、ディスクイメージがRAW形式であることを確認してください。 Encaseはすでにraw形式で保存しているか、raw形式でエクスポートできるようになります。
VirtualBoxの場合、 vboxmanage コマンドを convertfromraw オプションとともに使用できます。これにより、ディスクイメージがVirtualboxで読み取り可能な形式に変換されます。
元のイメージが危険にさらされないように、イメージのコピーを常に実マシンまたは仮想マシンにマウントするようにしてください。
次に、変換されたイメージをプライマリディスクとして使用して(そこから起動するために)仮想マシンを作成するか、フォレンジックOSを使用して、ディスクをVM)にマウントしてさらに詳しく調べることができます。
最後に、役立つと思われる3つのリンクを見つけました。
(既存の.e01または.dd/.imgを使用して)仮想再構築を行うには、次のようにします。
- accessdataのftkimager(バージョン3以降)を使用してイメージをマウントする(windoze)か、mount imageproを使用して同じことを行うことができます
- 生の画像をvmdkに変換するために、私は次のツールを使用しました、そしてそれはうまくいきます- http://sourceforge.net/projects/raw2vmdk/ (参考までに、反対を行うには、vmdkをddに変換します。
- VFC(仮想フォレンジックコンピューティング- http://www.virtualforensiccomputing.com/ )を使用して、仮想イメージを作成できます。パーティションのレイアウトに応じて、アクティブなブートパーティションを見つけます。 VM)を生成すると、vmwareプレーヤーまたはワークステーションを使用して.vmxを開くことができます。
- これにより、.e01またはdd/imgイメージを.vmdkに変換し、vmwareを使用して起動し、再構築された.e01から.vmdkを介して任意のアプリでアプリケーション分析を実行できます。
したがって、新しいイメージを作成する必要はまったくありません。 管理者として次のすべてのステップを実行してください!
FTK Imagerを使用して.E01イメージをマウントし、書き込みキャッシュを指定。イメージがマウントされている物理ドライブに注意してください。
最良のオプションは、コマンドを使用することです
vboxmanage.exe internalcommands createrawvmdk -filename "C:\SomePath\somefile.vmdk" -rawdisk \\.\PhysicalDrive2
注:物理ドライブ番号2が例として使用されています。ftkに記載されているドライブを使用してください。
このコマンドは、マウントされたイメージファイルへの.VMDKポインターを作成します。これで、仮想ボックス内にマシンを作成し、適切なOSを指定して、HDDとして.VMDKポインターを追加できます。これでシステムが起動するはずです。
トラブルシューティングの問題注:
システムのブルースクリーンが表示される場合は、ハードドライブコントローラーである可能性があります。仮想マシン設定内でコントローラーをSATAからIDE)に変更します。次に、ドロップダウンコントローラーボックスをICH6に変更してみます。
システムがUEFIの場合は、UEFIボックスをチェックする必要があります。
管理者としてすべてを実行してください!これが、仮想化されない理由になる可能性があります。
この見栄え以外:)