Depois de um longo tempo ausente estamos de volta. Em um post de 2011 vimos como criar uma máquina virtual, a partir de uma imagem pericial de um dispositivo suspeito, utilizando o liveview, o VMware Disk Mount Utility, o VMware Server e o Java Runtime Environment. Recentemente tive a necessidade de inicializar o sistema operacional de uma imagem pericial e como utilizo o VirtualBox, resolvi pesquisar por uma alternativa para resolver meu problema e tudo free preferencialmente. Pois bem, no VirtualBox podemos criar uma máquina virtual a partir de um dispositivo físico, através da linha de comando, de forma simples e descomplicada.
Os pré-requisitos para essa tarefa são:
- FTK Imager da AccessData;
- VirtualBox da Oracle, com Oracle VM VirtualBox Extension Pack instalado;
- Privilégios de administrador do sistema.
Após a instalação do FTK IMager e do VirtualBox faça as seguintes ações
- No FTK Imager abra o menu File > Image Mounting… e selecione o arquivo E01 da imagem pericial desejada;
- Em Mount Type selecione a opção Physical Only;
- Em Mount Method selecione a opção Block Device/Writable;
- Em Write Cache Folder escolha uma pasta para armazenar as alterações impostas pelo ambiente;
- Clique em Mount;
- Observe o destaque no retângulo vermelho, ele será utilizado na criação da máquina virtual.
Abra o prompt de comando como “administrador” e vá para a pasta do VirtualBox em “C:\Program Files\Oracle\VirtualBox”. Caso este caminho esteja nas sua variáveis de ambiente, não precisa ir até a pasta basta digitar o comando abaixo.
vboxmanage internalscommands createrawvmdk -filename "Path\Filename" -rawdisk \\.\PhysicalDriveN
No nosso caso PhysicalDrive10
Inicie o VirtualBox como administrador e crie uma nova máquina, dimensione a memória desejada e selecione “Utilizar um disco virtual existente” selecionando o arquivo vmdk criado, conforme as imagens abaixo.
Criada a máquina, carregue-a e voilá!
Até o próximo!
Olá, Marcelo,
Tudo bem ?
Os arquivo vmdk foram criados com 1k.
Sabe informar aonde errei?
Olá Marcelo
Os arquivos vmdk são deste tamanho mesmo. Nesse caso específico eles contém as configurações necessárias para a imagem carregar.
Abraços,
Boa tarde!
Estou testando o seu procedimento, achei muito útil quando precisamos acessar a imagem forense e termos uma imagem virtual para visualizar os artefatos.Poerem eu testei da seguinte forma e não funcionou, observei que a linha de comando no CMD não confere com a anotação da documentação:
Na documentação:
vboxmanage internalscommands createrawvmdk -filename.vmdk “Path\Filename” -rawdisk \.\PhysicalDriveN
No prompt:
C:\Program Files\Oracle\VirtualBox>vboxmanage internalscommands createrawvmdk -filename.vmdk D:\imagem destino\caso001.vmdk -rawdisk \.\PhysicalDrive2
OBS: D:\imagem destino\caso001.vmdk – diretório que eu criei e o nome do arquivo escrito para registro dentro desse diretório
O resultado é este apresentado: Syntax error: Invalid command ‘internalscommands’
poderia me ajudar nesta linha de comando, pode me enviar um e-mail por favor, seria ótimo eu ter este procedimento, pois estou em um caso e seria muito importante eu realizar este procedimento.
Obrigado
Olá Abílio
Grato pelo contato. Havia um erro no comando. Já corrigi no site.
Comando errado: vboxmanage internalscommands createrawvmdk -filename.vmdk “Path\Filename” -rawdisk \.\PhysicalDriveN
Comando correto: vboxmanage internalscommands createrawvmdk -filename “Path\Filename” -rawdisk \.\PhysicalDriveN
Sem o .vmdk após -filename
Abraços,
Comando é “internalcommands” sem “s” no final de “internal”. No final dever ser \\.\ (duas barras no começo e não apenas uma).
Olá Joe
O comando é realmente “internalcommands” com o “s” mas o path do disco é realmente com “\\.\”
Corrigido.
Abraços,
Show o post, vi q a ferramenta q utiliza para copiar o disco físico é proprietário (pago) da VMWare, vc saberia dizer se não existem ferramentas open q façam o mesmo trabalho para converter em disco virtual do virtualbox?
Abraços e agradeço pela atenção amigo, sucesso!!!!!
Olá Helson
Todas as ferramentas citadas são gratuitas. A ferramenta que utilizo para fazer a imagem do disco é o FTK Imager da AccessData, que também é gratuito. A conversão para disco virtual é pelo próprio Virtual Box.
Abraços,
Helson se vc é um profissional, considere começar a adquirir softwares pagos 😉
Nada a ver. O FTK Imager é gratuito por natureza. É opção de marketing da Accessdata. E o VirtualBox posse ser usado se não for pra fins comerciais. Aqui o objetivo é instrucional. Tá de boas.
Renan, seu conceito está completamente equivocado.
Brum, não diga bobagens!
Excelente post! Irei tentar reproduzir usando Virtual Box em Linux. Força e honra! E continue postando, seus posts são esclarecedores!