O Live View é uma ferramenta forense baseada em Java, de grande utilidade para o perito, que permite criar uma máquina virtual VMWare a partir de imagens RAW de discos (como as realizadas com o “dd“), de discos físicos protegido por bloqueadores de escrita, ou ainda de imagens do Encase ou FTK, montadas como discos emulados, pelos próprios. Está atualmente na versão 0.7b e suporta imagens de discos com sistemas operacionais Windows Vista, 2008, XP, 2003, 2000, NT, Me, 98 e 95, além do Linux (limitado), FreeBSD e OSX. O Live View mantém a imagem forense intocada, destinando as alterações para arquivos situados fora da imagem.

Este pequeno artigo tem como propósito apresentar os pré-requisitos e mostrar a instalação, configuração e operação do Live View.

Pré-requisitos:

Para a instalação do Live View é necessário alguns itens:

• VMware Disk Mount Utility que é parte do VMware Virtual Disk Development Kit, disponível gratuitamente aqui;
• VMware Server 1.x Full Install disponível gratuitamente aqui;
• Java Runtime Environment disponível gratuitamente aqui;
• Live View disponível gratuitamente aqui;
• Uma estação Microsoft Windows 7, Vista, 2008, 2003, XP, 2000 (Este infelizmente não é gratuito);

Inicialmente instalemos o Java Runtime Environment, VMware Virtual Disk Development Kit e o VMware Server 1.x. Finalizado instalamos o Live View.

Carregando o Live View

A abrir o Live View teremos a seguinte interface:

Nesta interface temos seis seções distintas empregadas na configuração e carga da máquina virtual desejada.

VM Initialization Parameters – Esta seção permite o usuário determinar a quantidade de memória a ser utilizada (RAM Size), a data e hora a ser apresentada no sistema que será carregado e o sistema operacional presente no arquivo de imagem.

Dica: Para saber qual a versão do Windows instalado na imagem, extraia o arquivo da hive software presente na pasta C:\Windows\system32\config e através de um visualizador de registro como o Mitec Windows Registry Recovery e busque o conteúdo da chave MicrosoftWindows NTCurrentVersion, onde o valor ProductName indicará o nome e o valor CurrentVersion indicará a versão do SO.

Select Your Image or Disk – Permite optar pelo local onde está instalado o sistema a ser carregado; Em um arquivo de imagem (Image File), em um disco físico bloqueado ou em uma imagem montada com o emulador (Physical Disk).

Select Output Directory For VM Config Files – Permite indicar onde serão gravados os arquivos de configuração da máquina virtual que será criada.

What do you want to do? – Esta quarta seção permite optar por carregar a imagem criada (Launch My Image) ou apenas criar os arquivos de configuração (Generate Config Only)

Actions – Escolha Iniciar a carga da máquina virtual (Start) ou limpar as configurações realizadas (Clear).

Messages – Local onde onde será mostrada o status da criação e carga dos arquivos de configuração da máquina virtual.

OBS.: Apesar de indicar na seção um a opção de auto detecção do sistema operacional, não deixe de selecionar o sistema operacional indicado. Caso o processo de geração dos arquivos de configuração e carga da máquina virtual apresente erro de “Parâmetro incorreto”, clique novamente sobre Start e clique sobre o botão Continue no pop-up que irá aparecer.