dd2vmdk

Dans le cadre de mon emploi, j'ai régulièrement à travailler avec des images intégrales brutes (raw images) de système informatique. De plus, ces images doivent être conservé, ainsi que tous traitements effectués sur ces dernières, pendant une longue période (on parle ici d'années).

Puisque les images intégrales brutes représente l'intégrale d'un média informatique non compressé, elles peuvent occupé beaucoup d'espace, et ce, rapidement. De plus, je dois souvant analyser les systèmes informatiques présent sur les images qui nous sont fournies. Pour ce faire, j'utilise des machines virtuelles. L'avantage d'utiliser des machines virtuelles est que je peux analyser plus d'un système en même temps sans être encombré de d'ordinateurs, écrans, claviers et souries.

J'utilise VMware pour toutes mes machines virtuelles. Malheureusement, il n'est pas possible de créer des machines virtuelles en utilisant des images intégrales brutes directement avec les outils de VMware. Je devais donc créer un disque virtuelle vierge, l'attacher à une machine virtuelle Linux, restorer l'image intégrale brute sur le disque virtuelle pour ensuite l'utiliser dans sa propre machine virtuelle afin de l'analyser. C'était un vrai casse-tête, l'opération était longue et j'utilisais le double de l'espace parce que je doit conserver les images originales et le disque virtuelle.

J'ai donc fouillé un peu et j'ai téléchargé la fiche technique du format VMDK (disque virtuelle de VMware). Je me suis fait un petit BATCH vite fait pour créer un VMDK qui utiliserait directement les images intégrales brutes. Il est diponible sur mon dépôt (dd2vmdk). Comme je ne l'ai pas testé de manière exhautive, il serait préférable que vous considériez ce script à titre éducatif seulement. Pourquoi, demandez-vous? Il n'a pas été testé exhaustivement mais fonctionnement trèes bien pour les quelques cas où je l'ei utilisé.

Ce que je vais vous recommander est de loin plus fiable et plus robuste que mon petit script. Il s'agit de Live View. Live View est outil graphique Java qui crée une machine virtuelle VMware à partir d'images intégrales brutes ou d'un disque physique. Bref, il fait à la base ce que mon script fait mais en mieux et avec un brin de crédibilité : Live View est développé par le CERT du Software Engineering Institute.

Une autre alternative, que je n'ai pas testé encore, est raw2vmdk (lien SF). Étrangement, je n'ai entendu parlé de cette outil/projet seulement quelque mois après avoir fait mon script dd2vmdk. Il s'agit lui aussi d'un outil Java mais, contrairement à Live View, il est strictement en ligne de commande (pas d'interface graphique). Je ne crois pas qu'il supporte des disques phyisques, uniquement des images intégrales brutes.

Mise à jour du dépôt à codes

J'ai mis en ligne 3 scripts Perl. Les trois fichiers proviennent de H. Carvey, mais j'ai apporté quelques modifications mineurs. Deux de ses scripts sont des plugiciels pour RegRipper, un outil pour l'analyse de base de registre Windows. Le dernier script permet la déconstruction des fichiers raccourcis de Windows (fichiers portant l'extension lnk).

Pour votre information, le magazine électronique hackin9 est maintenant gratuit et les différents numéros et articles peuvent être télécharger en ligne. Bonne lecture!