Создать виртуальную машину из образа Encase

Question

Я использовал Encase для записи образа диска в ходе судебно-медицинской экспертизы. Проблема в том, что определенное приложение, которое находится в образе, не будет работать, если оно не установлено должным образом. Я хочу загрузиться с образа (виртуальной машины), а затем работать с соответствующим приложением.

Есть идеи?

Answer 1

Сначала убедитесь, что ваш образ диска в формате raw. Либо Encase уже сохраняет его в необработанном формате, либо он сможет экспортировать его в необработанном формате.

Для VirtualBox вы можете использовать команду vboxmanage с опцией convertfromraw . Это преобразует образ вашего диска в формат, который доступен для чтения в Virtualbox.

Убедитесь, что вы всегда монтируете копию своего образа на реальной или виртуальной машине, чтобы ваш исходный образ не был скомпрометирован.

Затем вы можете создать виртуальную машину, используя преобразованный образ в качестве основного диска (для загрузки с него), или использовать любую операционную систему и установить диск в ВМ для дальнейшей проверки.

Наконец я нашел три ссылки, которые могут быть полезны:

• VirtualBox работает Encase файл
• VirtualBox - конвертировать образ RAW в VDI и т.д.
• Монтирование образов E01 физических дисков в Linux Ubuntu 12.04

Answer 2

Чтобы сделать виртуальную реконструкцию (используя существующий .e01 или .dd/.img), я делаю следующее:

• использовать монтирование доступа к данным ftk (версия 3 или новее), чтобы смонтировать образ (windoze), или вы можете использовать mount image pro, чтобы сделать то же самое
• Чтобы преобразовать необработанное изображение в vmdk, я использовал следующий инструмент, и он хорошо работает - http://sourceforge.net/projects/raw2vmdk/ (для справки, чтобы сделать обратное, преобразуйте vmdk в dd.
• Вы можете использовать VFC (Виртуальные судебные вычисления - http://www.virtualforensiccomputing.com/), который создаст для вас виртуальный образ. В зависимости от расположения разделов найдите активный загрузочный раздел. Создайте виртуальную машину, а затем вы можете открыть .vmx, используя vmware player или рабочую станцию.
• Это позволит вам преобразовать образ .e01 или dd/img в файл .vmdk, загрузить его с помощью vmware, а затем выполнить анализ приложения в любом приложении, которое вы хотите через восстановленный файл .e01, преобразовать в .vmdk.

Answer 3

Таким образом, вам не нужно создавать новый образ вообще. ВСЕ СЛЕДУЮЩИЕ ШАГИ В КАЧЕСТВЕ АДМИНИСТРАТОРА!

Смонтировать.E01 изображение с помощью FTK Imager и дать ему кэш записи. Обратите внимание, к какому физическому диску подключен образ.

Лучший вариант - использовать команду

vboxmanage.exe internalcommands createrawvmdk -filename "C:\SomePath\somefile.vmdk" -rawdisk \\.\PhysicalDrive2

ПРИМЕЧАНИЕ. Физический диск № 2 используется в качестве примера, используйте любой диск, указанный в ftk.

Команда создает.Указатель VMDK на смонтированный файл образа. Теперь вы можете создать машину в виртуальной коробке, назначить ей нужную ОС и добавить.Указатель VMDK в качестве жесткого диска. Система должна загрузиться.

ВОПРОСЫ УСТРАНЕНИЯ НЕИСПРАВНОСТЕЙ ПРИМЕЧАНИЕ:

Если система синего экрана, это может быть контроллер жесткого диска. Измените контроллер с SATA на IDE в настройках виртуальной машины. Затем попробуйте изменить раскрывающийся список контроллера на ICH6.

Если система UEFI, вам необходимо установить флажок UEFI.

БЕГИТЕ ВСЕ, КАК АДМИНИСТРАТОР! Это может быть причиной, почему это не будет виртуализироваться.

Кроме этого хорошо выглядеть :)