Raw images opstarten in Qemu
Een dd-image (forensische kopie) van een besturingssysteem kun je altijd proberen opstarten met de virtuele machine Qemu.
Hiervoor hebt u kvm-qemu nodig.
Installatie :

# sudo apt-get install qemu-kvm

Opstarten van een Image van Linux of Windows XP of ouder :

Voor het opstarten van de virtuele machine met de dd-image.

# kvm -hda /pad/naar/image.dd -m 1024

Opmerking :

handige opties zijn
-snapshot      maakt een snapshot, waardoor wijzingen naar een tijdelijk bestand geschreven worden.
-usbdevice disk:/pad/naar/image_usbstick.dd     koppelt een image van een usb-stick aan de image (met eventueel forensische tools)
-k nl-be        keyboard layout naar Belgisch Nederlands
-net none       geen netwerkverbinding activeren

Voorbeeld :

# kvm -hda /pad/naar/image.dd -usbdevice disk:/pad/naar/usbkey.dd -m 1024 -snapshot 

Wil je weten hoe het met o.a. met Windows 7 moet, want Windows 7 geeft een bluescreen bij bovenstaande methode, dan moet je op "Read More" klikken.

Opstarten van een Image van Windows Vista of nieuwer :

Om bijvoorbeeld een dd-image van Windows 7 te starten heb je een bijkomende bestand nodig, namelijk Opengates. Met Opengates kan je het bluescreen vermijden dat te zien is bij het opstarten van Windows 7 in een virtuele machine. Opengates moet je echter opstarten vanop een BartPE.iso. Deze BartPE.iso met een WindowsXP besturingssysteem moet je zelf eerst samenstellen. De volledige uitleg vind je hier .

Downloads :
BartPE : hier
BartPE plugin voor OpenGates : hier

Opdracht in terminal :

# kvm -hda /pad/naar/image.dd -m 1024 -boot d -cdrom /pad/naar/OpenGates.iso -net none

Opmerking :
Bij het opstarten zal eerst BartPE opstarten waarna je de nodige vragen (overwegend) met "yes" moet beantwoorden.
Na het herstarten zal Windows 7 starten.

Post a comment
Name
E-Mail
Comment