• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Виртуализация криминалистических образов в Windows

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
442
#1
Сподвигло к написанию статьи то что в интернете множество статей как запустить образы в виртуальной среде, но по факту такие статьи как "How to create copy of Suspects Evidence Using (FTK Imager)", "Booting up evidence E01 image using free tools (FTK Imager & Virtualbox)" и.т.п просто не работоспособны на практике после обновлений самих виртуальных программ.

Начало, что дано и что нужно:

имеем toshiba.E01 (500 Гб) форматы могут отличаться (Ваш выбор или то что есть), данный файл/образ был получен FTK Imager;
требуется зайти именно в рабочую операционную систему и в ней произвести исследования;дополнительные ресурсы - (физическое место) для конвертации отсутствуют и время ограничено.Приступим.я выбрал для использования Arsenal Image Mounter могут отличаться (Ваш выбор) - выбираем программу FTK Imager, Mount Image Pro, OSFMount и.т.п - которая будет поддерживать монтирование Вашего образа (dd, raw, e01, 001 и.т.д) смотрим технические возможности программы и основываясь им выбираем подходящую нам, монтируем наш образ
статья1.jpg
Запускаем Win+R->cmd с правами Администратора и Diskpart
Код:
DISKPART
list disk
//определяем наш hdd
SELECT DISK 3
//выбрали наш примонтированный диск
OFFLINE DISK
статья2.jpg
Запускаем VMware Workstation -> Create a New Virtual Machine->"Custom (advanced)"->Next >>
статья3.jpg
Важно выбрать ESXi 6.7 или ESXi 6.5
статья4.jpg статья5.jpg
далее окна выбора количества памяти ОЗУ и контролеров sata я упускаю и остановлюсь на HDD, тут мы и выберем наш PhysicalDrive3
статья6.jpg статья7.jpg
Наш результат
статья8.jpg
 
Последнее редактирование:

Langolier

Grey Team
05.05.2018
205
247
#3

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
442
#4
Мне кажется, что данная статья является хорошим продолжением более ранней статьи, в которой говорится, как снимать образы с системы.
Снятие образа RAM памяти с windows и linux
Неплохо было-бы как-то указать их связь в шапке ))
Есть готовые образы для тестирования и обучения
RAM память и дамп с нее и методы снятия и методы не нарушающие текущее её состояние при снятии дампа это целое отдельное направление - совсем другая тема и выковыривание ключей криптования и.т.п
 

Viacheslav

Well-known member
10.06.2017
234
377
#6
Сподвигло к написанию статьи то что в интернете множество статей как запустить образы в виртуальной среде, но по факту такие статьи как "How to create copy of Suspects Evidence Using (FTK Imager)", "Booting up evidence E01 image using free tools (FTK Imager & Virtualbox)" и.т.п просто не работоспособны на практике после обновлений самих виртуальных программ.

Начало, что дано и что нужно:

имеем toshiba.E01 (500 Гб) форматы могут отличаться (Ваш выбор или то что есть), данный файл/образ был получен FTK Imager;
требуется зайти именно в рабочую операционную систему и в ней произвести исследования;дополнительные ресурсы - (физическое место) для конвертации отсутствуют и время ограничено.Приступим.я выбрал для использования Arsenal Image Mounter могут отличаться (Ваш выбор) - выбираем программу FTK Imager, Mount Image Pro, OSFMount и.т.п - которая будет поддерживать монтирование Вашего образа (dd, raw, e01, 001 и.т.д) смотрим технические возможности программы и основываясь им выбираем подходящую нам, монтируем наш образ
Запускаем Win+R->cmd с правами Администратора и Diskpart
Код:
DISKPART
list disk
//определяем наш hdd
SELECT DISK 3
//выбрали наш примонтированный диск
OFFLINE DISK
Запускаем VMware Workstation -> Create a New Virtual Machine->"Custom (advanced)"->Next >>
Важно выбрать ESXi 6.7 или ESXi 6.5
далее окна выбора количества памяти ОЗУ и контролеров sata я упускаю и остановлюсь на HDD, тут мы и выберем наш PhysicalDrive3
Наш результат
@Sunnych, здрав будь! Кое-что о Digital Evidence в гугле или уточке:
Digital Evidence pdf
Digital Evidence Book pdf
Digital Evidence Thesis pdf
Digital Evidence Guide pdf
Digital Evidence Windows pdf
Digital Evidence Investigator pdf
Digital Evidence Virtual Machine pdf

1.jpg
 
Вверх Снизу