Sei sulla pagina 1di 3

Avvio di immagini dei dischi in Linux

Una foto può valere più di mille parole


A volte non vi è alcun sostituto per l'avvio di un computer per raccogliere i dati. Ma le conseguenze forense
direttamente l'avvio del sistema in esame sono proibitivi. E, mentre può essere possibile ripristinare un
immagine del computer a un altro disco rigido e installare il drive nel disco rigido del computer per l'avvio,
questo può essere costoso, richiede molto tempo, e si ottiene solo un colpo prima di aver modificato i dati da
originale (e stivali ripetuto può essere auspicabile in funzione l'inchiesta).

In risposta a questo, strumenti come LiveView sono stati creati. Il concetto era quello di avviare l'immagine
forense, piuttosto che ripristinare e catturare tutte le modifiche di sistema in una cache del disco. Il sistema
operativo potrebbe essere avviato rapidamente e ripetutamente da uno stato originale. Tuttavia, non ho mai
trovato LiveView di essere molto efficace, e negli ultimi anni ho evitato di strumenti basati su Windows, quando
possibile .

Inserisci xmount da Dan Gillen. Xmount monterà prime (dd), Expert Witness Format (EWF, aka, EnCase), ed
eventualmente avanzata Forensics Format (AFF) le immagini e creare un disco virtuale che può essere
eseguito in una macchina virtuale. Supportati dischi virtuali sono prime ( qemu ), VDI ( VirtualBox ), e vmdk
( VMware ). Xmount è facile da usare: la sua semplice come richiamare il comando, elencando il tipo di
immagine, il tipo di disco virtuale desiderato, assegnando un file di cache del disco, e selezionando l'immagine
del disco da montare. Per esempio:

$ Sudo xmount - in EWF - VDI out - image.E disk.cache owcache? / Mnt

Naturalmente, siete venire solo parzialmente alla realtà avvio che di immagine. Si potrebbe provare ad avviare
il disco virtuale nella vostra macchina virtuale, ma se è un sistema operativo Windows, è probabile che fallirà.

Aprite le porte con Flood "opengates"


sistemi operativi Windows invocare l'hardware del sistema in cui sono installati per l'avvio. Pertanto, non è
possibile normalmente rimuovere un disco rigido con un sistema operativo Windows, installarlo in un sistema
configurato in modo diverso, e si aspettano per l'avvio. Così, neppure il boot del disco virtuale nella vostra
macchina virtuale, a meno che la configurazione della macchina virtuale si avvicina quella del sistema
originale.Tuttavia, xmount creatore Dan Gillen ha una soluzione per noi: " opengates ".

Opengates è un'utilità per superare le limitazioni hardware dei sistemi operativi Windows. Fa molte altre cose
per rendere il disco virtuale avviabile, ma una capacità più interessante e utile è la rimozione della password
degli utenti. Opengates viene distribuita con BartPE , un ambiente di avvio di Windows live. Gillen fornisce
istruzioni molto chiare per la creazione di un opengates abilitato disco BartPE con PEbuilder. Ma in breve, è
necessario un Windows XP o 2003 computer (per eseguire PEbuilder), una licenza di Windows XP disco di
installazione, il software opengates, e circa 10 minuti.

1
Configurazione del VM
Qemu

Se si sta utilizzando qemu, i passaggi per una VM in esecuzione sono piuttosto brevi.È sufficiente configurare il
VM con un CD-ROM e il disco virtuale. Il CD-ROM contenente il disco BartPE (io uso un ISO che io chiamo
opengates.iso). Io uso la riga di comando nel seguente modo:

$ Sudo xmount - in EWF - gg - image.E disk.cache cache?? / Mnt

$ Qemu-cdrom-drive opengates.iso file = / mnt / boot-menu image.dd = on

Il "boot-menu = on" argomento consente un menu di avvio per essere selezionati con F12. Mi avvio
inizialmente con BartPE, e opengates viene eseguito immediatamente. Si può semplicemente prendere le
impostazioni predefinite per la maggior parte delle opzioni, l'unico catture di essere utente e password
rimozione Antiwpa (un Windows Product Activation) soluzione. Quando opengates è fatto, mostra alcune
impostazioni necessarie VM (ma Qemu non può essere configurato - che io sappia - con queste impostazioni),
e riavvia il sistema.

In avvio di secondo, ho il boot dal disco virtuale. In un caso recente, il Windows Vista Business Edition non si è
avviato sotto qemu, comunque. Così, ho provato VirtualBox.

VirtualBox

VirtualBox può essere implementato immediatamente, utilizzando le modifiche apportate con opengates sotto
Qemu, se desiderato. Le modifiche vengono registrate nella cache del set di dischi per il montaggio, e la cache
può essere riutilizzato con conseguente monta / stivali. Tuttavia, ho intenzione discutere VirtualBox come se
l'intero processo è stato incentrato il suo uso.

In primo luogo, xmount deve essere utilizzato per creare il disco virtuale:

$ Sudo xmount - in EWF - VDI out - image.E disk.cache cache?? / Mnt

2
Quindi, avviare e configurare VirtualBox. Vi consiglio l'edizione Puel (scaricabile dal sito), se si prevede di
utilizzare USB, ed è più facile da installare. VM Imposta il tuo, utilizzando il tuo opengates abilitato BartPE ISO
e il disco xmount virtuale.

Avviare l'ISO, utilizzando il tasto F12 o manipolando l'ordine di avvio nella VM. Usa opengates per configurare il
disco virtuale come indicato nella sezione Qemu sopra.Annotare le impostazioni VM raccomandato da
opengates e configurare la VM di conseguenza. L'utente non può trovare esattamente le impostazioni
corrispondenti in base al VM che si sta utilizzando e la versione, ma non dovrebbe essere difficile da
determinare e ti fanno nella scheda di sistema. Le impostazioni comuni a essere "Mother Board | Abilita IO
ACPI" e "Processor | Abilita PAE / NX"

Se il sistema operativo nella tua immagine era in uno stato ibernato, avrete probabilmente non essere in grado
di ripristinarlo, ma non c'è nulla di male nel provare.Se il sistema operativo non riesce a caricare il file di
ibernazione, si cancellarlo e avviare normalmente. Se tutto va bene, si dovrebbe avviare in
Windows. Ricordate, tutte le modifiche vengono memorizzate nella cache nel file su disco della cache.