Windows: virtualiser un E01 avec “Disk Adapter For VMware Workstation”

Workstation

Plusieurs personnes m’ont demandé récemment si on pouvait utiliser la technique de virtualisation d’un E01 décrite dans le post “Dump d’une base de données PostgreSQL en post-mortem“, mais sous windows.

On ne vas pas se mentir, il y a encore des réfractaires à Linux, même dans notre monde DFIR/G33k/etc… Et il est vrai que lorsque l’on est en pleine analyse avec X-Ways/Axiom/Forensic Explorer/[put_your_soft_here] sous Windows, il peut être pratique de virtualiser son image au même endroit, quasiment instantanément, sans monopoliser un autre poste de travail ou rebooter sous Linux.

Alors la réponse simple est “non”. Mais on a d’autres options. Toutefois, veuillez prendre note qu’ici, nous n’utiliserons plus de solutions libres, mais propriétaires…

Si vous n’y êtes pas réfractaires, commençons.

De quoi avons nous besoin?

Il nous faudra:

Disk Adapter est payant, mais vous pouvez l’essayer gratuitement. Toutefois, il coûte 4,95$, ce serait dommage de se priver.

Nous ne couvrirons pas ici l’installation des outils, il n’y a rien de compliqué.

Disk Adapter

Disk Adapter est installé? On l’exécute:

Disk Adapter

On nous propose directement d’acheter l’outil ou d’entrer un code d’enregistrement. Si nous n’en avons pas, on continue…

Disk Adapter

On cliques sur “Add disk image”, on choisis notre E01, puis “Ouvrir”.

A cette étape, il faut exécuter Workstation. Ce dernier doit tourner en tâche de fond pour que Disk Adapter fonctionne.

Disk Adapter

Ceci fait, on coche la case “Connect to VMware Workstation”. Le cercle doit passer vert, cela veut dire que tout est OK. Si il passe au rouge, vous avez du faire une connerie ^^.

On passe maintenant a Workstation…

VMware Workstation

Lui, il devrait normalement être déjà lancé:

Workstation

Maintenant on va créer une nouvelle machine virtuelle “custom”.

Workstation
Workstation

Nous n’installons bien évidemment pas de système d’exploitation puisque celui-ci est déjà contenu dans notre E01.

Workstation

Poursuivons…. Ici, nous allons virtualiser un Windows Server 2016.

Workstation
Workstation

Vous donnez les specs que votre machine hôte vous permet.

Workstation
Workstation

Attention, pour éviter toute connexion réseau intempestive, je vous conseilles fortement de ne pas ajouter d’interface réseau…

Workstation

Maintenant l’étape importante d’ajout de support de stockage…

Workstation

Nous choisissons l’option d’ajouter un disque virtuel déjà existant:

Workstation

En l’état, Workstation ne reconnaîtra pas notre E01 comme un disque virtuel. Pour y remédier, il faut choisir le type de fichier possible en bas de la fenêtre et mettre “all files”:

Workstation

On conserve le format actuel

Workstation

A la fin du processus de création, nous avons un récapitulatif de notre machine virtuelle…

Workstation
Workstation

Plus qu’à booter…

Workstation

Have fun 🙂

Windows: virtualiser un E01 avec “Disk Adapter For VMware Workstation”

One thought on “Windows: virtualiser un E01 avec “Disk Adapter For VMware Workstation”

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Scroll to top