Je termine une expertise sur laquelle le démarrage de l’ordinateur m’a fait gagner un temps précieux : j’ai pu remarquer pas mal de choses à partir de l’environnement de travail (image de fond d’écran, écran de veille basé sur un diaporama d’images, disposition des icones sur le bureau, etc.). C’est fou ce qu’on peut apprendre de ce genre de petits détails…
Et rien de plus simple à constater qu’en démarrant l’ordinateur. Oui, mais il n’est pas possible de modifier le contenu du disque dur que je dois analyser (afin de permettre à d’éventuelles autres expertises de pouvoir être pratiquées dans les mêmes conditions). Et tout le monde se doute qu’il se passe plein de choses quand on démarre un ordinateur, et que la majorité de ces choses modifient le contenu du disque dur. C’est pour cela qu’il faut toujours travailler sur une copie fidèle du disque dur. Et démarrer l’ordinateur sous la forme d’une machine virtuelle.
J’ai déjà expliqué sur ce blog comment je pratique pour prendre une image bit à bit d’un disque dur (lire par exemple ce billet).
J’ai également expliqué comment je convertissais cette image en machine virtuelle à l’aide d’un logiciel qui s’appelle Live View (lire ce billet). Mais ce logiciel ne semble plus maintenu et je rencontre de plus en plus de difficultés à l’utiliser. Du coup, j’ai souvent utilisé directement les outils en ligne de commande de VirtualBox: il suffit en effet d’une seule ligne de commande pour convertir une image bit à bit en disque exploitable sous VirtualBox:
VBoxManage convertfromraw image.dd image.vdi –format VDI –variant Fixed
(la dernière option permettant d’avoir un disque de taille fixe, la valeur par défaut de VBoxManage étant un disque de taille dynamique).
Le problème de cette commande est qu’elle est gourmande en temps et en ressources disques, puisqu’elle crée un double de l’image initiale.
Depuis que j’ai migré mon poste de travail personnel de Windows vers la distribution GNU/Linux Mint, j’explore de manière plus systématique les outils de l’univers GNU/Linux.
J’ai ainsi découvert une « vieille » commande disponible sur presque toutes les plateformes: xmount. Cette commande permet de créer un disque VirtualBox directement à partir de l’image bit à bit, sans la modifier, en créant un cache contenant toutes les modifications qui seront apportées sur le disque.
Ma procédure est maintenant la suivante:
mkdir toto
xmount –out vdi –cache image.cache image.dd ./toto
Je trouve ensuite dans le répertoire « toto » le fichier disque que j’utilise dans la machine virtuelle que je crée ensuite dans VirtualBox.
Si je ne connais pas les mots de passe Windows, je démarre la machine virtuelle avec le live cd ophcrack ou avec offline NT password. Si j’ai un écran bleu de la mort (parce que Windows n’aime pas démarrer sur du matériel différent de celui sur lequel il a été installé), j’utilise OpenGates qui fait office de baguette magique (sous Windows).
Je pose ça ici, si cela peut aider quelqu’un à booter sur une image disque. Il y a beaucoup d’autres méthodes et outils, mais ce sont ceux que j’utilise en ce moment.
PS: Je dois être l’un des derniers à utiliser « toto » dans mes exemples informatiques, mais les étudiants en rigolent encore, alors bon 🙂
J'ai 32ans et j'utilise toto (et ses cousins tata tutu titi) comme nom générique. Vous n'êtes pas seul !
J'utilise aussi toto, tata, foo et bar
Et j'en profite pour glisser l'adjectif «métasyntaxique» dans mon explication 😉
Je suis un jeune expert judiciaire belge en informatique retraité et il y a peu, j'ai créé un user totor… Il n'y a pas d'âge.
echo "gcc -c toto.c -o toto.o" > toto
Bonjour,
Continuez-vous à utiliser Mint après les failles de sécurité dont ils ont été victimes, et surtout après la mise en lumière de leur gestion très éloignée de toutes les recommandations et bonnes pratiques en la matière:
https://lwn.net/Articles/676662/
Pour l'instant, c'est la distribution la plus "user friendly" que j'ai trouvée (vous savez, les goûts et les couleurs…), mais je suis prêt à changer vers de plus verts pâturages 😉
Bonjour,
Est-ce que vos commandes fonctionnent avec des images format .E01 (Encase) ?
Merci d'avance !
Aucune idée, je n'utilise pas Encase. Mais une rapide recherche Google montre qu'il y a des conversions possibles.
Je suis intriguée par ce que peux révéler un environnement de travail. Bon si on regarde le mien on sait que je suis bordélique et gameuse mais sinon ? Si vous avez le temps et l'envie de faire un article à ce sujet…
C'est surtout une question de gain de temps : en un clin d’œil, il est possible de voir pleins de petits détails tels que : image de fond d'écran, liens stockés sur le bureau, dossiers stockés sur le bureau, applications souvent utilisées. Pas sur que j'arrive à en faire un billet 😉