Archiv für den Monat: November 2014

Arsenal Image Mounter Virtualisierung von E01 Imagen

Update vorhanden!

Seit dem Erscheinen von Arsenal Image Mounter gibt es eine weitere Möglichkeit ein E01 Image zu virtualisieren und gleichzeitig eine .vmdk zu erstellen, die nicht mehr auf das Image angewiesen ist. In diesem Beispiel wurde ein Win 8.1 Image verwendet.

Benötigte Software:

Arsenal Image Mounter: http://arsenalrecon.com/apps/image-mounter/

Paragon Virtualisierungstool z.B. Go Virtual 14 ( oder ähnliche Software, hier Kosten: 16,00 Euro)

https://www.paragon-software.de/de/home/go-virtual/

Installieren von AIM. Hierbei wird jetzt ein zusätzlicher SCSI-Treiber installiert, der die Besonderheit von dem Tool ausmacht.

Mit Admin-Rechten die „MountTool.exe starten.

aim1

Für gesplittete E01 Image ist diese Auswahl zu treffen.

Das Image wird „writeable“ eingebunden.

aim3

Der Mounter hängt immer sowohl logisch, als auch physikalisch ein.

Wie aber auch zu erkennen ist, wird das Image als Datenträger unter der Systemverwaltung von Windows erkannt.

aim5

Dies ist der entscheidende Unterschied zu FTK-Imager, weil jetzt auch andere Programme den Datenträger interpretieren können.

Weiterer Effekt ist, dass z.B. beim logischen Mounten von einem Bitlocker-Laufwerk eine Abfrage zum Eingeben des Schlüssels gemacht wird. Sehr interessant für XWays-User.

aim4

Paragon Go Virtual 14 starten.

Hier ist das Image als Arsenal Virtual Device auszuwählen, einschließlich aller Partitionen

para2

Durch die wenigen Einstellungen klicken.

Das Image wird jetzt virtualisiert.

Eine .vmdk wird geschrieben.

Eine .vmx wird geschrieben und angepasst.

para6

Damit ist die VM laufbereit.

Wir müssen jetzt nur noch die VM an unsere Bedürfnisse anpassen:

Netzwerk trennen

Tools instalieren

Benutzer zurücksetzen

etc.

 

vmx_win81

Also gar nicht schlecht diese Variante. Bei einem sehr großen Image, welches nur von uns selbst virtuell ausgewertet werden soll, bietet es sich an, das Image nur einzuhängen und die .vmx selbst zu verändern, um die VM lauffähig zu machen.

Festplatte in VirtualBox nachträglich vergrößern

Ouelle:

http://www.tecchannel.de/storage/tipps/2039511/festplatte_in_virtualbox_nachtraeglich_vergroessern/

Häufig reservieren Anwender beim Erstellen einer virtuellen Maschine zu wenig Kapazität für die Festplatte. Die spätere Anpassung in Oracles VirtualBox ist nicht so komfortabel wie bei den Konkurrenzprodukten von VMware. Unser Tipp zeigt, wie es auf der Kommandozeile funktioniert.
Lösung: Um die virtuelle Festplatte zu vergrößern, benötigt man das mit VirtualBox installierte Tool VBoxManage. Nachdem man die virtuelle Maschine ausgeschaltet hat,muss man unter Windows die Eingabeaufforderung beziehungsweise ein Terminal unter Linux öffnen.

Das Tool versteht verschiedene Parameter, um die Festplattengröße zu ändern. Im Programmverzeichnis von VirtualBox ruft man nun den folgenden Befehl auf:

VBoxManage.exe modifyhd <Pfad zur VDI-Datei> –resize <Größe in Megabyte>
Es sei hier angemerkt, dass dadurch nur die virtuelle Größe geändert wird, dh. ich habe mehr Platz für zukünftige Installationen. Die physikalische Belegung von Festplattenplatz entspricht auch weiterhin der tatsächlichen Belegung.
Dies wäre dann ein Beispiel für den kompletten Befeh lauf eine Vergrößerung auf 50 GB:

C:\Program Files\Oracle\VirtualBox>VBoxManage.exe modifyhd D:\MASCHINEN\VirtualB
oxClients\Win8.1_privat\Win8.1_privat.vdi –resize 50000

 

Moral von der Geschicht………geizt mit virtuellen Speicher nicht.

 

Arbeitsspeicheranalyse (ein möglicher Einstieg)…

Als ich die sinnvollen von den sinnfreien Twitter-Beiträgen getrennt habe, ist mir folgender Mitschnitt einer Präsentation über Volatility (von einem Projektmitglied) ins Auge gefallen.

Ich finde, es ist ein angenehmer (wenn man nur liest) und doch recht kompletter (wenn man auch zuhört) Einstieg in das „Wann und warum macht es Sinn, den Arbeitsspeicher zu analysieren“.

Viel Spaß beim konsumieren!

Wenn Malware sich analysiert fühlt…

Hier wird recht einfach und verständlich aufgezeigt, wie schlau Malware „von heute“ doch sein kann.

Wie man etwas dagegen tun kann, hat u. a. Michael Boman in seinem Blog geschrieben. Zieht man „Tante Google“ zu Rate, erschlagen einen förmlich die Tipps!

Und bei einem abschließendem Test könnte folgendes Projekt eine große Hilfe sein: Paranoider Fisch!?

Besonders sinnvoll ist ein solches „härten“ insb. in Bezug auf automatisierte Malware-Analyse z. B. per Cuckoo.

Happy hackin‘!