Статья Виртуализация криминалистических образов в Windows

  • Автор темы Автор темы Sunnych
  • Дата начала Дата начала
Сподвигло к написанию статьи то что в интернете множество статей как запустить образы в виртуальной среде, но по факту такие статьи как "How to create copy of Suspects Evidence Using (FTK Imager)", "Booting up evidence E01 image using free tools (FTK Imager & Virtualbox)" и.т.п просто не работоспособны на практике после обновлений самих виртуальных программ.

Начало, что дано и что нужно:

имеем toshiba.E01 (500 Гб) форматы могут отличаться (Ваш выбор или то что есть), данный файл / образ был получен FTK Imager;
требуется зайти именно в рабочую операционную систему и в ней произвести исследования; дополнительные ресурсы - (физическое место) для конвертации отсутствуют и время ограничено. Приступим, я выбрал для использования Arsenal Image Mounter могут отличаться (Ваш выбор) - выбираем программу FTK Imager, Mount Image Pro, OSFMount и.т.п - которая будет поддерживать монтирование Вашего образа (dd, raw, e01, 001 и.т.д) смотрим технические возможности программы и основываясь им выбираем подходящую нам, монтируем наш образ
статья1.jpg
Запускаем Win+R->cmd с правами Администратора и Diskpart
Код: 
DISKPART
list disk
//определяем наш hdd
SELECT DISK 3
//выбрали наш примонтированный диск
OFFLINE DISK
статья2.jpg
Запускаем VMware Workstation -> Create a New Virtual Machine->"Custom (advanced)"->Next >>
статья3.jpg
Важно выбрать ESXi 6.7 или ESXi 6.5
статья4.jpg
статья5.jpg
далее окна выбора количества памяти ОЗУ и контролеров sata я упускаю и остановлюсь на HDD, тут мы и выберем наш PhysicalDrive3
статья6.jpg
статья7.jpg
Наш результат
статья8.jpg
 
Последнее редактирование:
  • Нравится
Реакции: Semen Semenov, Unison, _Eliot_ и ещё 11
Нажмите, чтобы раскрыть...
Спасибо за статью ))
Очень познавательно.
Мне кажется, что данная статья является хорошим продолжением более ранней статьи, в которой говорится, как снимать образы с системы.
Снятие образа RAM памяти с windows и linux
Неплохо было-бы как-то указать их связь в шапке ))
Есть готовые образы для тестирования и обучения
 
Langolier сказал(а):
Мне кажется, что данная статья является хорошим продолжением более ранней статьи, в которой говорится, как снимать образы с системы.
Снятие образа RAM памяти с windows и linux
Неплохо было-бы как-то указать их связь в шапке ))
Есть готовые образы для тестирования и обучения
Нажмите, чтобы раскрыть...
RAM память и дамп с нее и методы снятия и методы не нарушающие текущее её состояние при снятии дампа это целое отдельное направление - совсем другая тема и выковыривание ключей криптования и.т.п
 
Sunnych сказал(а):
Сподвигло к написанию статьи то что в интернете множество статей как запустить образы в виртуальной среде, но по факту такие статьи как "How to create copy of Suspects Evidence Using (FTK Imager)", "Booting up evidence E01 image using free tools (FTK Imager & Virtualbox)" и.т.п просто не работоспособны на практике после обновлений самих виртуальных программ.

Начало, что дано и что нужно:

имеем toshiba.E01 (500 Гб) форматы могут отличаться (Ваш выбор или то что есть), данный файл/образ был получен FTK Imager;
требуется зайти именно в рабочую операционную систему и в ней произвести исследования;дополнительные ресурсы - (физическое место) для конвертации отсутствуют и время ограничено.Приступим.я выбрал для использования Arsenal Image Mounter могут отличаться (Ваш выбор) - выбираем программу FTK Imager, Mount Image Pro, OSFMount и.т.п - которая будет поддерживать монтирование Вашего образа (dd, raw, e01, 001 и.т.д) смотрим технические возможности программы и основываясь им выбираем подходящую нам, монтируем наш образ
Запускаем Win+R->cmd с правами Администратора и Diskpart
Код: 
DISKPART
list disk
//определяем наш hdd
SELECT DISK 3
//выбрали наш примонтированный диск
OFFLINE DISK
Посмотреть вложение 20485
Запускаем VMware Workstation -> Create a New Virtual Machine->"Custom (advanced)"->Next >>
Посмотреть вложение 20487
Важно выбрать ESXi 6.7 или ESXi 6.5
Посмотреть вложение 20490Посмотреть вложение 20491
далее окна выбора количества памяти ОЗУ и контролеров sata я упускаю и остановлюсь на HDD, тут мы и выберем наш PhysicalDrive3
Посмотреть вложение 20493Посмотреть вложение 20494
Наш результат
Нажмите, чтобы раскрыть...

@Sunnych, здрав будь! Кое-что о Digital Evidence в гугле или уточке:
Digital Evidence pdf
Digital Evidence Book pdf
Digital Evidence Thesis pdf
Digital Evidence Guide pdf
Digital Evidence Windows pdf
Digital Evidence Investigator pdf
Digital Evidence Virtual Machine pdf
1.jpg
 
  • Нравится
Реакции: Underwood и Sunnych
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ