『杂项』电子取证之磁盘格式转换 E01 -> VMDK

admin 2024年2月28日14:22:57评论24 views字数 2978阅读9分55秒阅读模式
『杂项』电子取证之磁盘格式转换 E01 -> VMDK

点击蓝字 关注我们

『杂项』电子取证之磁盘格式转换 E01 -> VMDK
日期:2024-02-26
作者:nothing
介绍:记录如何在mac中进行磁盘检材格式E01->VMDK转换。

0x00 前言

最近碰到很多电子取证的题目,题目给的检材类型大致分为三种:DD、E01、VMDKVMDK给的比较少,大部分是E01格式的检材。

其中有的题目需要进行操作系统仿真,进入操作系统进行取证,由于目前碰到的仿真软件,无论是商业的还是免费的,均只能在windows上进行一键仿真,若要在mac上进行一键仿真,需要先安装一个windows虚拟机,然后在windows虚拟机中安装仿真软件和VMware Station,进行虚拟机套虚拟机的操作,非常麻烦,对机器资源消耗的也比较多。

在上述背景下,考虑在mac上先将磁盘格式进行转换,然后将磁盘直接挂到虚拟机上进入系统。

『杂项』电子取证之磁盘格式转换 E01 -> VMDK

0x01 库安装

操作机环境:Mac OS Catalina(10.15.7)Darwin username 19.6.0 Darwin Kernel Version 19.6.0: Mon Aug 31 22:12:52 PDT 2020; root:xnu-6153.141.2~1/RELEASE_X86_64 x86_64VMware Fusion 专业版 12.1.2 (17964953)

1.1 macfuse

这是为libewf库做的基础。

之前参考的资料中要求安装osxfuse,说是和macfuse有区别。但在实际安装测试过程中,发现osxfuse是老版本,4.0版本以后修改名称为macfuse

安装老版本的osxfuse后,在后续实际测试中发现缺少组件,相关代码的依赖也无法找到,于是这里直接下载安装了最新版本的macfuse:

https://github.com/osxfuse/osxfuse/releases/download/macfuse-4.5.0/macfuse-4.5.0.dmg

1.2 libewf

首先安装mac port

https://www.macports.org/install.php

不同系统版本对应不同软件版本,像我Catalina是:

https://github.com/macports/macports-base/releases/download/v2.7.1/MacPorts-2.7.1-10.15-Catalina.pkg

然后借用mac port安装一些能自动安装的环境:

sudo port install git autoconf automake gettext libtool pkgconfig flex byacc

然后使用port安装libewf

sudo port install libewf

注意:推荐使用port安装libewf,前序安装的环境并不全面,若下载旧版本的libewf源代码进行本地编译,会出现编译错误,一步步解决起来比较麻烦,不想找麻烦的建议使用port进行一键安装。

出现如下界面,证明libewf安装成功:

『杂项』电子取证之磁盘格式转换 E01 -> VMDK

1.3 qemu

试图直接实现windows下那样FTK Imager挂载后直接通过虚拟机访问磁盘来实现仿真,但是mac下好像挂载时没有办法挂载成物理磁盘,会被PD检测报错,VM就直接不报错了,直接输出帮助内容,后来就用挂载出的raw文件创建一个虚拟磁盘,这就用到了qemu-img

需要用的qemu进行磁盘格式转换,使用brew进行安装:

brew install qemu

具体的一些其他的qemu教程可以参考文章:

https://blog.csdn.net/u012324798/article/details/109705017

0x02 虚拟机导入

2.1 磁盘格式转换

# 该命令只用做查看系统挂载镜像,可以不做$ diskutil list# 创建挂载目录$ mkdir ~/tmp/11# 挂载E01文件到挂载点$ sudo ewfmount -X volicon=/Library/Filesystems/macfuse.fs/Contents/Resources/Volume.icns  /Users/xxx/Downloads/检材4.E01 ~/tmp/11 输出内容:ewfmount 20230212# 这一步可以看到还没有检测出来,还需要下一步挂载到系统$ diskutil list# 将文件挂载到系统$ sudo hdiutil attach -imagekey diskimage-class=CRawDiskImage -nomount ~/tmp/11/ewf1/dev/disk4              GUID_partition_scheme/dev/disk4s1            EFI/dev/disk4s2            Microsoft Reserved/dev/disk4s3            Microsoft Basic Data$ diskutil list.../dev/disk4 (disk image):   #:                       TYPE NAME                    SIZE       IDENTIFIER   0:      GUID_partition_scheme                        +64.4 GB    disk4   1:                        EFI NO NAME                 209.7 MB   disk4s1   2:         Microsoft Reserved                         134.2 MB   disk4s2   3:       Microsoft Basic Data                         64.1 GB    disk4s3# 挂载完毕后使用下条命令制作vmdk虚拟磁盘$ sudo qemu-img convert -O vmdk ~/tmp/11/ewf1 /User/xxx/Desktop/检材.vmdk# 由于使用sudo生成的vmdk,最后调整下vmdk的权限$ sudo chmod 777 检材.vmdk

2.2 虚拟机添加磁盘

进行磁盘格式转换后,在自己本地,随便选择一个对应系统的虚拟机,windows检材选windows虚拟机,linux检材选linux虚拟机,将虚拟机进行关机,然后进入虚拟机设置,进行添加设备。

『杂项』电子取证之磁盘格式转换 E01 -> VMDK

选择现有硬盘,点击添加后,选择硬盘,点击完成即可。

然后返回设置界面,选择启动磁盘。

『杂项』电子取证之磁盘格式转换 E01 -> VMDK

进入后选择刚刚添加的硬盘,然后点击重新启动,即可仿真成功,进入检材的操作系统中,进行后续取证。

『杂项』电子取证之磁盘格式转换 E01 -> VMDK

注意:上述操作,有一个很重要的前提是,要确定检材当中是一个完整的操作系统,有启动和引导扇区,若仅是存储的静态文件,不需要进行仿真,有很多其他的工具可以进行取证。

『杂项』电子取证之磁盘格式转换 E01 -> VMDK

0x03 总结

目前主流的商业仿真软件,除了一键仿真外,还可以一键修改操作系统密码,针对不知道检材系统密码的情况。

但有些特殊题目,磁盘中的文件被进行efs加密,需要用户名+SID+密码完全对应才可解密。针对此种情况,一键修改密码的功能会变成累赘。

面对未知密码的操作系统,可进行磁盘转换后,linux系统进入单用户模式,将原本的shadow文件保存后,再修改密码,进入系统。windows系统使用虚拟机软件加载PE镜像,进入PE中读取原本的hash保存破解后,再进入系统。

参考资料:
https://blog.csdn.net/your_olym/article/details/120856854?spm=1001.2014.3001.5501
https://blog.csdn.net/your_olym/article/details/121499993
免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。

点此亲启

原文始发于微信公众号(宸极实验室):『杂项』电子取证之磁盘格式转换 E01 -> VMDK

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月28日14:22:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   『杂项』电子取证之磁盘格式转换 E01 -> VMDKhttps://cn-sec.com/archives/2526729.html

发表评论

匿名网友 填写信息