quarta-feira, 17 de março de 2010

Criar uma máquina virtual a partir de um S.O. em um disco

Esta é uma técnica bastante utilizada na computação forense quando se precisa periciar o sistema operacional de uma máquina. Todo o conteúdo do disco rígido é clonado para uma imagem e assim o sistema pode ser iniciado e vasculhado sem o risco de modificar ou perder o conteúdo original, ou seja, este procedimento serve para preservar a evidência.

No nosso exemplo vamos usar uma ferramenta do ambiente Linux e o Sun VirtualBox para executar a máquina virtual. Então, retire o disco rígido da máquina investigada pois tudo será feito em uma outra máquina, para o trabalho. Acompanhe as etapas a seguir:

Conecte a unidade de disco rígido na máquina de trabalho, pode ser por um adaptador USB ou diretamente na controladora de disco. Importante não montar o sistema de arquivos para manter a integridade dos dados, o acesso ao disco será diretamente no nível raw.

Copie todo o conteúdo do disco para uma imagem no HD da máquina de trabalho. Use o comando "dd" para isto, siga o exemplo da linha abaixo de acordo com o dispositivo de origem:

$ dd if=/dev/sdg of=imagem-hd.img

A imagem gerada está no formato raw pois é uma cópia de um acesso no nível binário do disco, abaixo do nível do sistema de arquivos. O VirtualBox não trabalha com imagens neste formato, as unidades de disco virtuais devem estar em um outro formato de armazenamento, denominado "Virtual Desktop Image" ou VDI. Converta para este formato usando o utilitário "VBoxManage", incluído no pacote do VirtualBox. A linha de comando completa é semelhante a demonstrada abaixo:

$ VBoxManage convertfromraw --format VDI imagem-hd.img imagem-hd.vdi

Neste ponto o sistema está quase pronto para ser iniciado, necessita somente criar a máquina virtual no VirtualBox e especificar esta imagem VDI como sendo a unidade de disco rígido. Se tudo ocorreu corretamente, o sistema provavelmente será iniciado.

No momento da criação da máquina virtual alguns detalhes precisam ser respeitados. Geralmente é necessário manter o tipo da controladora de disco, por exemplo, se o disco rígido é padrão SATA então defina a controladora da máquina virtual para o padrão SATA. Detalhes assim podem atrapalhar a inicialização. Quanto aos drivers de rede, som, vídeo etc., estes podem ser reinstalados com a máquina em funcionamento.

Em um trabalho profissional o processo de cópia do HD original para uma imagem deve ser assistido por um equipamento que proteja o disco que qualquer escrita. Um equipamento com este propósito é o "Tableau T8 Forensic USB Bridge". Mas em uma atividade doméstica ou em caso de não ser necessária tanta proteção, nada disso é preciso.

2 comentários:

  1. Cara show de bola seu post, vou tentar reproduzir dpeois aqui no meu...

    ResponderExcluir
  2. Matou minha curiosidade.

    ResponderExcluir