In questo articolo vedremo come convertire una copia forense (in formato .E01, .dd o altro) in una macchina virtuale. Nonostante nella prassi si utilizzino software di analisi di informatica forense, spesso può tornare molto utile avviare la macchina sottoposta a copia forense per delle particolari verifiche o controlli, in particolare in relazione a quei file/estensioni/stati di software che non vengono indicizzati da parte dei software di informatica forense. Nonostante siano presenti diverse guide in Rete su come avviare una macchina virtuale da una copia forense, nella pratica i problemi che si possono riscontrare sono molti; io stesso, prima di scrivere questo articolo, ho perso diversi giorni prima di riuscire a far partire un lotto di 6 copie forensi, solo ed esclusivamente per una piccola configurazione che era necessario modificare.
In questo articolo vorrei quindi delineare una procedura base che, almeno per quanto mi riguarda, non ha mai dato particolari problemi e che permette, in pochissimi minuti, di avere una macchina virtuale pronta all’uso, partendo da un file .E01, .dd e così via.
Software necessari
Montare l’immagine forense
Come prima cosa, è necessario montare il file della copia forense come disco virtuale. Per fare ciò, utilizziamo Arsenal Image Mounter (avviato con privilegi di amministrazione), selezionando il file .E01 premendo sul tasto “Mount Image Disk” e configurandolo con la modalità “Write Temporary”. A questo punto, Arsenal Image Mounter dovrebbe montare il disco in modalità “Offline”: un messaggio vi avviserà di ciò e dovrete confermare premendo su “No” (facendo click su “Yes”, infatti, il disco verrà messo online). Nel caso in cui ciò non accadesse, dobbiamo procedere manualmente: aprite il CMD come privilegi di amministrazione e digitate, in ordine, i seguenti comandi, avendo cura di sostituire le informazioni necessarie:
DISKPART
SELECT DISK [numero disco montato]
OFFLINE DISK
Oltre ad Arsenal Image Mounter esistono diversi software in grado di fare lo stesso tipo di operazione (il più noto è sicuramente FTK Imager). Al momento, mi sento di consigliare Arsenal Image Mounter in quanto è quello che mi ha dato meno problemi in assoluto. In caso di problemi, potete comunque utilizzare qualsiasi altro software analogo, avendo però cura di impostare l’unità esclusivamente come unità fisica e non logica. Inoltre, ricordatevi che è essenziale configurare il disco in modalità scrittura con cache (non in sola lettura).
A questo punto è necessario convertire il disco fisico in un file .vmdk, per far sì che il disco rigido della macchina virtuale punti all’unità fisica appena montata. Per fare ciò, dobbiamo utilizzare un’utility di Oracle VM VirtualBox.
Avviamo quindi il CMD di Windows con permessi di amministrazione (fondamentale) e spostiamo nella directory dove è installato VirtualBox:
cd C:\Program Files\Oracle\VirtualBox
Procediamo alla creazione del file .vmdk con il seguente comando, avendo cura di modificare le parti necessarie (file di destinazione e sorgente):
vboxmanage.exe internalcommands createrawvmdk -filename “D:\PhysicalDrive3.vmdk” -rawdisk \\.\PhysicalDrive3
A questo punto, ci ritroveremo con il file “PhysicalDrive3.vmdk”. Personalmente, ho notato che se il nome del file è differente dall’unità fisica, tendono ad apparire errori più o meno incomprensibili durante l’avvio della macchina virtuale. Per scanso di equivoci, ho quindi preso la buona abitudine di nominare qualsiasi file o macchina virtuale esattamente come l’unità fisica (in questo esempio, quindi, PhysicalDrive3). In tutta onestà, non trovo molto il senso logico della cosa, ma dato che non costa niente, vi consiglio di fare altrettanto.
Creare la macchina virtuale
Non ci resta che creare la macchina virtuale utilizzando il disco fisico montato in precedenza, utilizzando il file appena generato. Per fare ciò, apriamo Oracle VM VirtualBox, facciamo click su “Nuovo” e seguiamo il wizard.
Nel momento in cui viene chiesto di selezionare il disco, scegliamo l’opzione “Usa un file di disco fisso virtuale esistente” ed andiamo a selezionare il file .vmdk.
Una volta creata la macchina virtuale, apriamo le impostazioni di quest’ultima e:
- Attiviamo UEFI
- Disattiviamo tutti i dispositivi dalla fase di boot, ad esclusione del disco rigido
Fatto ciò, sarete pronti!
Semplificare il tutto
Su GitHub è presente il tool Imm2Virtual, sviluppato da Nanni Bassetti (il primo corso di Digital Forensics che ebbi modo di seguire fu proprio il suo!), il quale vi permetterà di convertire in una macchina virtuale le copie forensi EWF(E01), DD (raw), AFF in pochi istanti. Anch’esso è basato su Arsenal Image Mounter e Oracle VM VirtualBox
Errori comuni
FATAL: Could not read from the boot medium! System halted.
Se all’avvio della macchina virtuale vedete questo errore, probabilmente non avete attivato UEFI dalle impostazioni.
nell’esecuzione della procedura il comando vboxmanage mi restituisce i seguenti errori:
C:\Program Files\Oracle\VirtualBox\VBoxManage.exe internalcommands createrawvmdk -filename “c:\PhysicalDrive2.vmdk -rawdisk \\.\PhysicalDrive2
VBoxManage.exe: error: VMDK: Image path: ‘c:\PhysicalDrive2.vmdk ‘. Getting config interface failed
VBoxManage.exe: error: Error code VERR_INVALID_PARAMETER at F:\tinderbox\win-rel\src\VBox\Storage\VMDK.cpp(4481) in function int __cdecl vmdkRawDescParseConfig(struct VMDKIMAGE *,char **,unsigned int *,unsigned int *,void **,unsigned __int64 *,bool *,char **)
VBoxManage.exe: error: VMDK: could get raw descriptor for ‘c:\PhysicalDrive2.vmdk ‘
VBoxManage.exe: error: Error code VERR_INVALID_PARAMETER at F:\tinderbox\win-rel\src\VBox\Storage\VMDK.cpp(5296) in function int __cdecl vmdkCreateImage(struct VMDKIMAGE *,unsigned __int64,unsigned int,const char *,const struct VDGEOMETRY *,const struct VDGEOMETRY *,const union RTUUID *,struct VDINTERFACEPROGRESS *,unsigned int,unsigned int)
VBoxManage.exe: error: Cannot create the raw disk VMDK: VERR_INVALID_PARAMETER
VBoxManage.exe: error: The raw disk vmdk file was not created
Possibile soluzione ?
Domanda banale: stai avviando tutto con diritti di amministrazione?
SI come scritto. Ho la versione 7. di Virtual Box e voglio convertire una copia di un Xp