Plusieurs personnes m’ont demandé récemment si on pouvait utiliser la technique de virtualisation d’un E01 décrite dans le post « Dump d’une base de données PostgreSQL en post-mortem« , mais sous windows.
On ne vas pas se mentir, il y a encore des réfractaires à Linux, même dans notre monde DFIR/G33k/etc… Et il est vrai que lorsque l’on est en pleine analyse avec X-Ways/Axiom/Forensic Explorer/[put_your_soft_here] sous Windows, il peut être pratique de virtualiser son image au même endroit, quasiment instantanément, sans monopoliser un autre poste de travail ou rebooter sous Linux.
Alors la réponse simple est « non ». Mais on a d’autres options. Toutefois, veuillez prendre note qu’ici, nous n’utiliserons plus de solutions libres, mais propriétaires…
Si vous n’y êtes pas réfractaires, commençons.
De quoi avons nous besoin?
Il nous faudra:
- Un ordinateur sous Windows,
- VMware Workstation (apparemment la solution fonctionne aussi avec VMware Player, mais je n’ai pas fait le test),
- et Disk Adapter For VMware Workstation de YurikSoft.
Disk Adapter est payant, mais vous pouvez l’essayer gratuitement. Toutefois, il coûte 4,95$, ce serait dommage de se priver.
Nous ne couvrirons pas ici l’installation des outils, il n’y a rien de compliqué.
Disk Adapter
Disk Adapter est installé? On l’exécute:
On nous propose directement d’acheter l’outil ou d’entrer un code d’enregistrement. Si nous n’en avons pas, on continue…
On cliques sur « Add disk image », on choisis notre E01, puis « Ouvrir ».
A cette étape, il faut exécuter Workstation. Ce dernier doit tourner en tâche de fond pour que Disk Adapter fonctionne.
Ceci fait, on coche la case « Connect to VMware Workstation ». Le cercle doit passer vert, cela veut dire que tout est OK. Si il passe au rouge, vous avez du faire une connerie ^^.
On passe maintenant a Workstation…
VMware Workstation
Lui, il devrait normalement être déjà lancé:
Maintenant on va créer une nouvelle machine virtuelle « custom ».
Nous n’installons bien évidemment pas de système d’exploitation puisque celui-ci est déjà contenu dans notre E01.
Poursuivons…. Ici, nous allons virtualiser un Windows Server 2016.
Vous donnez les specs que votre machine hôte vous permet.
Attention, pour éviter toute connexion réseau intempestive, je vous conseilles fortement de ne pas ajouter d’interface réseau…
Maintenant l’étape importante d’ajout de support de stockage…
Nous choisissons l’option d’ajouter un disque virtuel déjà existant:
En l’état, Workstation ne reconnaîtra pas notre E01 comme un disque virtuel. Pour y remédier, il faut choisir le type de fichier possible en bas de la fenêtre et mettre « all files »:
On conserve le format actuel
A la fin du processus de création, nous avons un récapitulatif de notre machine virtuelle…
Plus qu’à booter…
Have fun 🙂
Thanks a lot Bruno
Merci Bruno pour ce tuto très explicite.
La précédure s’est bien déroulée jusqu’à la fin sauf qu’au lancement de la vm j’ai un message d’erreur
« your host does not meet minimum requirements to run vmware with Hyper -V or Device/credential Guard enabled. »
J’ai désactivé Hyper -V dans les fonctionnalités Win et la clé de registre CredentialGuard était sur enabled valeur (0), je l’ai mise sur (1). Aucun changement. J’ai toujours le même message.
Merci pour les idées qui seront les bienvenues, là je sèche.
Salut Benoit, désolé du délais de réponse. A tout hasard, n’aurait-tu pas installé le WSL2 sur ton Windows?
Si tel est le cas, il fout le bordel avec VMWare parce qu’il utilise Hyper-V. Une petite astuce consiste à ouvrir un powershell en admin, puis entrer:
bcdedit /set hypervisorlaunchtype offEnsuite on redémarre puis les VM devraient se lancer normalement, mais tu ne pourras plus utiliser le WSL.
Pour réutiliser le WSL, on ouvre de nouveau un powershell en admin et on entre:
bcdedit /set hypervisorlaunchtype autoAu redémarrage, tu devrais pouvoir utiliser le WSL de nouveau.
C’est un peu contraignant, mais c’est la seule astuce que j’ai trouvée jusqu’à présent.