Aucun message portant le libellé windows. Afficher tous les messages
Aucun message portant le libellé windows. Afficher tous les messages

vendredi 25 juin 2010

dd2vmdk

Dans le cadre de mon emploi, j'ai régulièrement à travailler avec des images intégrales brutes (raw images) de système informatique. De plus, ces images doivent être conservé, ainsi que tous traitements effectués sur ces dernières, pendant une longue période (on parle ici d'années).

Puisque les images intégrales brutes représente l'intégrale d'un média informatique non compressé, elles peuvent occupé beaucoup d'espace, et ce, rapidement. De plus, je dois souvant analyser les systèmes informatiques présent sur les images qui nous sont fournies. Pour ce faire, j'utilise des machines virtuelles. L'avantage d'utiliser des machines virtuelles est que je peux analyser plus d'un système en même temps sans être encombré de d'ordinateurs, écrans, claviers et souries.

J'utilise VMware pour toutes mes machines virtuelles. Malheureusement, il n'est pas possible de créer des machines virtuelles en utilisant des images intégrales brutes directement avec les outils de VMware. Je devais donc créer un disque virtuelle vierge, l'attacher à une machine virtuelle Linux, restorer l'image intégrale brute sur le disque virtuelle pour ensuite l'utiliser dans sa propre machine virtuelle afin de l'analyser. C'était un vrai casse-tête, l'opération était longue et j'utilisais le double de l'espace parce que je doit conserver les images originales et le disque virtuelle.

J'ai donc fouillé un peu et j'ai téléchargé la fiche technique du format VMDK (disque virtuelle de VMware). Je me suis fait un petit BATCH vite fait pour créer un VMDK qui utiliserait directement les images intégrales brutes. Il est diponible sur mon dépôt (dd2vmdk). Comme je ne l'ai pas testé de manière exhautive, il serait préférable que vous considériez ce script à titre éducatif seulement. Pourquoi, demandez-vous? Il n'a pas été testé exhaustivement mais fonctionnement trèes bien pour les quelques cas où je l'ei utilisé.

Ce que je vais vous recommander est de loin plus fiable et plus robuste que mon petit script. Il s'agit de Live View. Live View est outil graphique Java qui crée une machine virtuelle VMware à partir d'images intégrales brutes ou d'un disque physique. Bref, il fait à la base ce que mon script fait mais en mieux et avec un brin de crédibilité : Live View est développé par le CERT du Software Engineering Institute.

Une autre alternative, que je n'ai pas testé encore, est raw2vmdk (lien SF). Étrangement, je n'ai entendu parlé de cette outil/projet seulement quelque mois après avoir fait mon script dd2vmdk. Il s'agit lui aussi d'un outil Java mais, contrairement à Live View, il est strictement en ligne de commande (pas d'interface graphique). Je ne crois pas qu'il supporte des disques phyisques, uniquement des images intégrales brutes.
Posted by at Aucun commentaire:
Labels: , , ,

jeudi 6 mai 2010

Mise à jour du dépôt à codes

J'ai mis en ligne 3 scripts Perl. Les trois fichiers proviennent de H. Carvey, mais j'ai apporté quelques modifications mineurs. Deux de ses scripts sont des plugiciels pour RegRipper, un outil pour l'analyse de base de registre Windows. Le dernier script permet la déconstruction des fichiers raccourcis de Windows (fichiers portant l'extension lnk).

Pour votre information, le magazine électronique hackin9 est maintenant gratuit et les différents numéros et articles peuvent être télécharger en ligne. Bonne lecture!
Posted by at Aucun commentaire:
Labels: , ,

mercredi 9 décembre 2009

Windows Prefetch

Je mentionne rapidement que j'ai mis en ligne un outil perl pour faire la décomposition analytique des fichiers Prefetch [1][2]. Mon travail dérive de deux sources : Y. Khatri et H. Carvey.

Le code est accessible via mon dépôt.
Posted by at Aucun commentaire:
Labels: , , ,

mercredi 25 novembre 2009

Invite de commandes

Dans mon "post" intitulé "Oneline" du mois, j'utilisais les commandes find et perl afin de remplacer massivement un "pattern" sans avoir à le faire fichiers par fichiers. Mais, comme vous avez surement deviné, c'était sous linux. Alors, comment faire sous Windows.

Je n'avais jamais eu à faire du remplacement massif d'envergure sous Windows (ni sous linux d'ailleur) alors je me contentais de Notepad++. Il est quand même capable de prendre une cinquantaine de fichiers et plus. Mais aujourd'hui, j'ai eu à travailler sur plus de 11 000 fichiers et j'ai eu trop peur d'essayer de les charger tous en même dans np++. J'ai donc ressorti ma bible de MS-DOS 6.0 et j'en ai profité pour mettre en signet la page MSDOS de ComputerHope.com.

Voici donc ma très humble "oneliner" pour remplacement massif sous Windows :

FOR /F "usebackq" %i IN (`DIR . /B/A-D`) DO perl -i.orig -pe "s/\x22//g" %i

Remarquez que j'ai mis en rouge les "double-quotes". Vous ne pouvez pas mettre des "single-quotes" comme sous linux; ça ne fonctionnera point. Il semblerais que sous Windows, Perl ne peu faire du "inplace edit" ou du moins, la version que j'ai d'installé. C'est pourquoi je dois spécifier une extension à l'option -i.

J'en profite au passage pour souligner, à mes très chers amateurs de "oneliner", les deux sites suivants :  
Command Line Kung Fu - j'adore la petite compétition entre les windowsien et les linuxien de ce blog
Command Line Fu - dépôt massif de ligne de commandes
Posted by at Aucun commentaire:
Labels: , ,
S'abonner à : Messages (Atom)