Converter E01 para VIRTUAL

Indice

1 Introdução
2 O que você vai precisar
3 Etapas
4 Limitações conhecidas
5 Conclusão

Introdução

Vamos supor que você tem em mãos um Disco Físico (HARD DISK), e necessita subir essa maquina em um ambiente virtualizado para análise. Mas fazer isso com a imagem original e a imagem forense pode acabar comprometendo sua analise, já que precisaria ter uma terceira imagem forense para esta finalidade.

Diante deste cenário, então a melhor alternativa seria subir a Imagem Forense criado pelo FTK no formato E01, sem alterar a evidência. Com um pouco de paciência e alguns comandos com o Virtualbox, é possível esta tarefa, acompanhe.

O que você vai precisar

Para subir (converter) uma imagem E01 para VIRTUAL você vai precisar de:

FTK Imager;
VirtualBox instalado;
Espaço em disco para gravação temporária;

Etapas

Supondo que você já tem tudo instalado, a primeira coisa a se fazer é montar a imagem como Phisical Only e Block Device / Writable (calma…. o FTK não irá gravar na evidência e sim em um repositório definido). Também será necessário definir um local fora da evidência (computador local) para gravar os arquivos de forma temporária, conforme imagem 1.

Abra uma janela de prompt (CMD), navegue até o repositório do Virtual Box (normalmente, c:\program files\oracle\virtualbox) e execute:

Microsoft Windows [versão 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados.

C:\>cd "Program Files"
C:\Program Files>cd Oracle
C:\Program Files\Oracle>cd VirtualBox
C:\Program Files\Oracle\VirtualBox>VBoxManage.exe internalcommands createrawvmdk -filename f:\LEFORENSE\ImagemVirtualizada\melianteboot.vmdk -rawdisk \\.\physicaldrive1

ATENÇÃO

Note que você deverá substituir os caminhos pelo seu, ou seja, o caminho do arquivo que será criado e a origem do PhysicalDrive1 (quadro azul, marcado na IMAGEM 1)

Agora, execute o Virtual Box, e crie uma maquina Virtual básica, neste meu caso é um Windows 7, então montei a maquina basicamente com 2GB de RAM, com placa de rede (mas não conectada), e ao criar o disco eu seleciono um disco existente e aponto o disco criado “melianteboot.vmdk”, conforme IMAGEM 3.

Pronto, agora é só subir a maquina (turn on), e usar! IMAGEM 4. Observe que a medida que os arquivos são acessado na imagem forense, o FTK Imager irá arquivar no diretório temporário definido na hora da montagem.

Limitações conhecidas

Caso venha a ocorrer a tela da morte (blue screen), tente alterar a controladora de SATA para IDE.

Conclusão

É fantástico você ter por opção subir uma imagem forense em um ambiente virtualizado. E como mencionado anteriormente, toda as alterações serão feita no arquivo temporário. Essa informação poderá ser consultada no FAQ da Access Data, disponível em: http://reduz.me/9d183