Converter E01 para VIRTUAL

Converter E01 para VIRTUAL

Introdução

Vamos supor que você tem em mãos um Disco Físico (HARD DISK), e necessita subir essa maquina em um ambiente virtualizado para análise. Mas fazer isso com a imagem original e a imagem forense pode acabar comprometendo sua analise, já que precisaria ter uma terceira imagem forense para esta finalidade.

Diante deste cenário, então a melhor alternativa seria subir a Imagem Forense criado pelo FTK no formato E01, sem alterar a evidência. Com um pouco de paciência e alguns comandos com o Virtualbox, é possível esta tarefa, acompanhe.

O que você vai precisar

Para subir (converter) uma imagem E01 para VIRTUAL você vai precisar de:

  • FTK Imager;
  • VirtualBox instalado;
  • Espaço em disco para gravação temporária;

Etapas

Supondo que você já tem tudo instalado, a primeira coisa a se fazer é montar a imagem como Phisical Only e Block Device / Writable (calma…. o FTK não irá gravar na evidência e sim em um repositório definido). Também será necessário definir um local fora da evidência (computador local) para gravar os arquivos de forma temporária, conforme imagem 1.

Imagem 1

Abra uma janela de prompt (CMD), navegue até o repositório do Virtual Box (normalmente, c:\program files\oracle\virtualbox) e execute:

Microsoft Windows [versão 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados.

C:\>cd "Program Files"
C:\Program Files>cd Oracle
C:\Program Files\Oracle>cd VirtualBox
C:\Program Files\Oracle\VirtualBox>VBoxManage.exe internalcommands createrawvmdk -filename f:\LEFORENSE\ImagemVirtualizada\melianteboot.vmdk -rawdisk \\.\physicaldrive1
ATENÇÃO
Note que você deverá substituir os caminhos pelo seu, ou seja, o caminho do arquivo que será criado e a origem do PhysicalDrive1 (quadro azul, marcado na IMAGEM 1)
Imagem 2

Agora, execute o Virtual Box, e crie uma maquina Virtual básica, neste meu caso é um Windows 7, então montei a maquina basicamente com 2GB de RAM, com placa de rede (mas não conectada), e ao criar o disco eu seleciono um disco existente e aponto o disco criado “melianteboot.vmdk”, conforme IMAGEM 3.

Pronto, agora é só subir a maquina (turn on), e usar! IMAGEM 4. Observe que a medida que os arquivos são acessado na imagem forense, o FTK Imager irá arquivar no diretório temporário definido na hora da montagem.

Imagem 4

Limitações conhecidas

Caso venha a ocorrer a tela da morte (blue screen), tente alterar a controladora de SATA para IDE.

Conclusão

É fantástico você ter por opção subir uma imagem forense em um ambiente virtualizado. E como mencionado anteriormente, toda as alterações serão feita no arquivo temporário. Essa informação poderá ser consultada no FAQ da Access Data, disponível em: http://reduz.me/9d183

About The Author

Related posts

Leave a Reply