点击蓝字 关注我们
日期:2024-02-26 作者:nothing 介绍:记录如何在 mac中进行磁盘检材格式E01->VMDK转换。
0x00 前言
最近碰到很多电子取证的题目,题目给的检材类型大致分为三种:DD、E01、VMDK,VMDK给的比较少,大部分是E01格式的检材。
其中有的题目需要进行操作系统仿真,进入操作系统进行取证,由于目前碰到的仿真软件,无论是商业的还是免费的,均只能在windows上进行一键仿真,若要在mac上进行一键仿真,需要先安装一个windows虚拟机,然后在windows虚拟机中安装仿真软件和VMware Station,进行虚拟机套虚拟机的操作,非常麻烦,对机器资源消耗的也比较多。
在上述背景下,考虑在mac上先将磁盘格式进行转换,然后将磁盘直接挂到虚拟机上进入系统。
0x01 库安装
:Mac OS Catalina(10.15.7)Darwin username 19.6.0 Darwin Kernel Version 19.6.0: Mon Aug 31 22:12:52 PDT 2020; root:xnu-6153.141.2~1/RELEASE_X86_64 x86_64VMware Fusion 专业版 12.1.2 (17964953)
1.1 macfuse
这是为libewf库做的基础。
之前参考的资料中要求安装osxfuse,说是和macfuse有区别。但在实际安装测试过程中,发现osxfuse是老版本,4.0版本以后修改名称为macfuse。
安装老版本的osxfuse后,在后续实际测试中发现缺少组件,相关代码的依赖也无法找到,于是这里直接下载安装了最新版本的macfuse:
https://github.com/osxfuse/osxfuse/releases/download/macfuse-4.5.0/macfuse-4.5.0.dmg1.2 libewf
首先安装mac port:
https://www.macports.org/install.php不同系统版本对应不同软件版本,像我Catalina是:
https://github.com/macports/macports-base/releases/download/v2.7.1/MacPorts-2.7.1-10.15-Catalina.pkg然后借用mac port安装一些能自动安装的环境:
sudo port install git autoconf automake gettext libtool pkgconfig flex byacc然后使用port安装libewf:
sudo port install libewf注意:推荐使用port安装libewf,前序安装的环境并不全面,若下载旧版本的libewf源代码进行本地编译,会出现编译错误,一步步解决起来比较麻烦,不想找麻烦的建议使用port进行一键安装。
出现如下界面,证明libewf安装成功:
1.3 qemu
试图直接实现windows下那样FTK Imager挂载后直接通过虚拟机访问磁盘来实现仿真,但是mac下好像挂载时没有办法挂载成物理磁盘,会被PD检测报错,VM就直接不报错了,直接输出帮助内容,后来就用挂载出的raw文件创建一个虚拟磁盘,这就用到了qemu-img。
需要用的qemu进行磁盘格式转换,使用brew进行安装:
brew install qemu具体的一些其他的qemu教程可以参考文章:
https://blog.csdn.net/u012324798/article/details/1097050170x02 虚拟机导入
2.1 磁盘格式转换
该命令只用做查看系统挂载镜像,可以不做diskutil list# 创建挂载目录mkdir ~/tmp/11# 挂载E01文件到挂载点sudo ewfmount -X volicon=/Library/Filesystems/macfuse.fs/Contents/Resources/Volume.icns /Users/xxx/Downloads/检材4.E01 ~/tmp/11输出内容:ewfmount 20230212# 这一步可以看到还没有检测出来,还需要下一步挂载到系统diskutil list# 将文件挂载到系统sudo hdiutil attach -imagekey diskimage-class=CRawDiskImage -nomount ~/tmp/11/ewf1/dev/disk4 GUID_partition_scheme/dev/disk4s1 EFI/dev/disk4s2 Microsoft Reserved/dev/disk4s3 Microsoft Basic Data$ diskutil list.../dev/disk4 (disk image):: TYPE NAME SIZE IDENTIFIER0: GUID_partition_scheme +64.4 GB disk41: EFI NO NAME 209.7 MB disk4s12: Microsoft Reserved 134.2 MB disk4s23: Microsoft Basic Data 64.1 GB disk4s3# 挂载完毕后使用下条命令制作vmdk虚拟磁盘sudo qemu-img convert -O vmdk ~/tmp/11/ewf1 /User/xxx/Desktop/检材.vmdk# 由于使用sudo生成的vmdk,最后调整下vmdk的权限sudo chmod 777 检材.vmdk
2.2 虚拟机添加磁盘
进行磁盘格式转换后,在自己本地,随便选择一个对应系统的虚拟机,windows检材选windows虚拟机,linux检材选linux虚拟机,将虚拟机进行关机,然后进入虚拟机设置,进行添加设备。
选择现有硬盘,点击添加后,选择硬盘,点击完成即可。
然后返回设置界面,选择启动磁盘。
进入后选择刚刚添加的硬盘,然后点击重新启动,即可仿真成功,进入检材的操作系统中,进行后续取证。
注意:上述操作,有一个很重要的前提是,要确定检材当中是一个完整的操作系统,有启动和引导扇区,若仅是存储的静态文件,不需要进行仿真,有很多其他的工具可以进行取证。
0x03 总结
目前主流的商业仿真软件,除了一键仿真外,还可以一键修改操作系统密码,针对不知道检材系统密码的情况。
但有些特殊题目,磁盘中的文件被进行efs加密,需要用户名+SID+密码完全对应才可解密。针对此种情况,一键修改密码的功能会变成累赘。
面对未知密码的操作系统,可进行磁盘转换后,linux系统进入单用户模式,将原本的shadow文件保存后,再修改密码,进入系统。windows系统使用虚拟机软件加载PE镜像,进入PE中读取原本的hash保存破解后,再进入系统。
https://blog.csdn.net/your_olym/article/details/120856854?spm=1001.2014.3001.5501
https://blog.csdn.net/your_olym/article/details/121499993
点此亲启
原文始发于微信公众号(宸极实验室):『杂项』电子取证之磁盘格式转换 E01 -> VMDK
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论