Virtualizzare immagini raw con Virtualbox

Inserito da DarkAngel il Dom, 04/06/2008 - 23:30

Dopo innumerevoli tentativi, scorribande tra la rete, alla ricerca di qualche post che mi potesse illuminare, finalmente sono riuscito, con l’aiuto del mio collega LucaCek, a virtualizzare una immagine raw (dd) di un disco “suspect” utilizzando il programma opensource VirtualBox.

Innanzi tutto bisogna dire che gli sviluppatori della Innotek (la SUN ha assorbito il progetto), hanno corretto con il rilascio della verione 1.5.6, alcuni bug presenti nelle vecchie release.

Tra questi bug, non poteva mancare il malfunzionamento del comando “convertdd”, che restituiva un fastidiosissimo e al quanto sgradevole errore di sistema, quando si tentava di lanciare l’immagine creata (il mio collega Denis Frati e l’amico Nanni Bassetti ne dovrebbero sapere qualcosa!!!).

Bisogna anche precisare, che se si usava una versione con licenza OSE (GPL), si riscontravano innumerevoli fastivi (come il riconoiscimento delle porte USB), che non si riscontrano con l’utilizzo della versione PUEL (Freeware) di VirtualBox. Dopo aver menzionato questi piccolissimi dettagli (chiamali piccoli!!!), vi spieghero come realizzare questa conversione con 2 piccoli passaggi.

Faccio presente che questa tecnica è stata sperimentata su vari sistemi operativi, tutti andati a buon fine…(WindowsXP, Windows98SE, WindowsServer2003, UBUNTU 7.10, Fedora 8, FreeBSD).

Innanzi tutto bisogna creare la nostra bella immagine dd. Per queste prove ho utilizzato la livecd HELIX knoppix v.1.9a, appoggiandomi per la conversione al tool grafico AIR (Automated Image and Restore).

Una volta aperto il tool ho impostato i seguenti parametri:

1. Comando DCFLDD per creare l’immagine;

2. IBS=512 (Input Block Size);

3. OBS=512 (Output Block Size);

4. HASH=Sha256 (per il calcolo dell’algoritmo hash sul disco sorgente);

5. VERIFY=YES (per verificare che l’hash generato sulla immagine combaciasse con quello del disco sorgente);

6. CONV=NOERROR,SYNC (per far si che in caso di errori la copia non si bloccasse).

Finita la procedura di copia, ho aperto un terminale digitando il seguente comando: 
#VBoxManage convertdd /mnt/archivio/Win.dd /mnt/archivio/Win.vdi

Finita anche questa procedura, ho aperto la consolle di VirtualBox, ho creato una macchina virtuale ricreando le caratteristiche del mio ambiente di lavoro (per esempio Windows XP), inserendo al momento della richiesta del disco, la mia immagine convertira (per l'appunto Win.vdi)ed una volta terminato il settaggio della macchina ho provveduto a lanciarla….

IMPORTANTE: per virtualizzare un'immagine dd di XP è consigliabile settare il parametro "ENABLE IO
APIC" (da sperimentazione di Alessio Grillo).

Risultato, la mia copia forense era pronta per essere analizzata.

Questa è stata una bella esperienza ed una bella soddisfazione, in quanto si potrà così effettuare una analisi completa utilizzando software opensource, ma sopratutto utilizzando il pinguino.

 

Sto preparando una piccola doc sulla virtualizzazione sopra esposta dove citero passo passo e più dettagliatamente alcuni passaggi da me realizzati.

 

from: http://forensicsblog.wordpress.com/2008/04/06/virtualizzare-immagini-raw-con-virtualbox/

 

Allegato
Dimensione

Schermata-Crea una nuova macchina virtuale.png
70.73 KB