Sto eseguendo una indagine forense in cui mi è stata data una copia in formato RAW (utilizzando il comando dd) di un'unità di un server linux (ritengo un Debian x64).
Usando FTK Imager ho montato l'unità e posso navigare nel file-system (EXT4).
Solo che adesso non ho idea di come esportare l'immagine in un formato da dare in pasto alla macchina virtuale VMWare o VirtualBox.
Qualcuno ha esperienza in tal senso? Sto usando Windows 8.1 a 64bit.
Grazie!
Non sei qui per fare una scelta, la scelta l'hai già fatta...Ora devi comprendere le ragioni per cui l'hai fatta. Non possiamo vedere oltre le scelte che non ci sono chiare. http://www.chicercatrova2000.it
Qual'è il problema?Originariamente inviata da prozac2000
Fai un disco virtuale, avvia da una distro qualsiasi, rifai sopra il DD, fine del problema.
Per leggere il file puoi metterlo in una share Windows e montare nella distro linux la condivisione (brutale, ma funziona).
Se invece sei "pigro" puoi usare (vmdk)
qemu-img convert (linux)
raw2vmdk (windows, o meglio java)
liveview (sempre java)
per virtualbox c'è a CLI il convertfromraw (ma devo dire che non l'ho mai usato)
Il guaio è che nel boot ricevo il seguente errore: FATAL INT18.
Debbo dire che ho semplicemente BINDATO l'unità fisica a VMDK usando il comando VBOXMANAGE:
dici che se creo una cartella condivisa con il file system montato posso poi montarla vai rete sotto Linuz?codice:VBoxManage internalcommands createrawvmdk -filename "C:\Users\as\VirtualBox VMs\debian\ph4.vmdk" -rawdisk \\.\PhysicalDrive4
Non sei qui per fare una scelta, la scelta l'hai già fatta...Ora devi comprendere le ragioni per cui l'hai fatta. Non possiamo vedere oltre le scelte che non ci sono chiare. http://www.chicercatrova2000.it
Ho provveduto a convertirlo in un'unico segmento: vm.001 e poi a convertirlo in formato .vdi con vboxmanage.
Se però lo do in pasto a VirtualBox ottengo il messaggio "No bootable medium found" perché?
Non sei qui per fare una scelta, la scelta l'hai già fatta...Ora devi comprendere le ragioni per cui l'hai fatta. Non possiamo vedere oltre le scelte che non ci sono chiare. http://www.chicercatrova2000.it
Come accennato, personalmente, preferisco fare il ripristino "a mano", cioè montando come detto uno share Windows e facendo il "dd" per i fatti miei, così da essere sicuro che il ripristino sia fatto bene (va a capire cosa fanno quei programmini... magari funzionano bene, magari no, e quando faccio perizie voglio essere sicuro).
Penso sia chiaro come procedo: condivido il disco "fisico" su cui c'è l'immagine con samba (o Windows), mentre dalla distro linux la monto e poi faccio il "dd inverso"
Riguardo alla partizione, controlla che sia stato "davvero" copiato tutto il disco, cioè in particolare che la partizione sia avviabile (abbia il flag di boot attivo), supponendo che sia la vecchia MBR.
Magari non è MBR, esamina la struttura delle partizioni
Mi spieghi passo passo questa procedura? Allora, monto la partizione con FTK Imager, la condivido in rete (su WIN)
Poi da Linux (Ubuntu 15.04) che debbo fare?
Grazie dell'aiuto!
Non sei qui per fare una scelta, la scelta l'hai già fatta...Ora devi comprendere le ragioni per cui l'hai fatta. Non possiamo vedere oltre le scelte che non ci sono chiare. http://www.chicercatrova2000.it
???Mi spieghi passo passo questa procedura? Allora, monto la partizione con FTK Imager, la condivido in rete (su WIN)
Poi da Linux (Ubuntu 15.04) che debbo fare?
Grazie dell'aiuto!
Allora da qualche parte avrai il file immagine (un hard disk usb?), formattato non so come.
NTFS o Ext4
Poi puoi usare una macchina Windows come host, oppure Linux.
Hai quindi essenzialmente 4 possibilità:
1) Windows-NTFS
2) Windows-Ext4
3) Linux-NTFS
4) Linux-Ext4
Caso 1)
Crei una macchina virtuale (o ne usi una già fatta) con dentro una distro Linux e un suo disco virtuale.
Poi aggiungi un secondo disco virtuale, sul quale farai poi il ripristino
Dall'host Windows fai una condivisione di rete del disco USB con dentro il file immagine
A questo punto dalla macchina virtuale Linux monti la condivisione smbfs di Windows, e poi fai il dd "inverso" dal file sul secondo disco virtuale
Caso 2)
Come sopra, solo che invece di usare una share Windows colleghi il disco USB Ext4 alla macchina Linux, la monti, e fai il "dd inverso" sul secondo disco virtuale
Casi 3) e 4), praticamente analoghi
In sostanza per lavorare comodo devi preparare una macchina virtuale con un linux già bello che pronto.
Ci aggiungi un secondo disco virtuale, e fai il ripristino su quello.
Per leggere i dati puoi usare share Windows, montare direttamente USB, talvolta uso anche server FTP (tipo filezillaserver per Windows) in modo da accedervi dalla macchina virtuale Linux.
Come detto prediligo questa procedura per poter certificare esattamente cosa è successo, e come, senza usare software di terzi se non strettamente necessario.
Una voltal che hai la macchina virtuale coi due dischi virtuali, puoi farne una copia e togliere il disco "linux" per provare ad avviare il disco ripristinato.
Se non parte => torni a quella con il disco di sistema e ci lavori sopra per capire come è fatta
per montare la share windows (vado a memoria, controlla il man)
A quel punto dentro /winzozz ti troverai che so il file immagine.dd da cui attingere i daticodice:mkdir /winzozz mount -t cifs //ip_della_macchina_windows/nomecondivisione /winzozz username=utente_windows,password=password_window
Ultima modifica di MySQL; 22-06-2015 a 12:40
ok. Grazie. Tento questa operazione... (y)
Non sei qui per fare una scelta, la scelta l'hai già fatta...Ora devi comprendere le ragioni per cui l'hai fatta. Non possiamo vedere oltre le scelte che non ci sono chiare. http://www.chicercatrova2000.it
Permessi di invio
Rispondi quotando