💾

保全した.E01(ewf)形式のディスクイメージファイルからOS起動する

2024/10/04に公開

概要

ディスクフォレンジックを行う際、保全対象のディスクは.E01形式であることが多いかなと思います。
多少圧縮されるのでサイズも小さくなるし、取り回しもしやすいのでこの業界ではデファクトスタンダードになっています。(対応していないツールが多い気もしますが)

基本はこの.E01形式ファイルからアーティファクトを収集して分析を進めるのですが、場合によってはOSを起動して直接ガチャガチャいじくりまわしたいときもあります。
例えば、調査対象環境上で実際にマルウェアを動かして動作を見たい場合や、調査ツール(Autorunsとかね)を動かしたい場合です。

こういった用途に特化したVFCのような有償のツールもありますが、そんなお金ないので 無償で提供されている Arsenal Image Mounter をありがたく使わせていただきましょう。

検証してませんが、.E01じゃなくてもこの方法でだいたい動くと思います。
詳しくは下記リンクの「Disk Image Support」あたりを読みましょう。
https://arsenalrecon.com/arsenal-image-mounter-aim-walkthrough

動作確認環境

VMware Workstation Pro 17.5.2
Arsenal Image Mounter 3.11.293

VirtualBoxとかFTK Imagerのような同種のツールでもできるかもしれないけど、
何年か前に試したときはあんましうまくいかなかったので上記がオススメです。

手順

ディスクのマウント

Arsenal Image Mounterを起動したら、左下のMount Disk Imageをクリックして起動したい.E01ファイルを選択します。

なんか色々聞かれるのですが、上部のDisk device, write temporaryを選択します。
また、Specify alternate differencing file locationも選択して適当なところに保存しておきましょう。

これによって、元のE01ファイルには変更を加えず、差分を別ファイルとしてくくりだすことができます。

次に、上部ツールバーから Advanced > Offline Disk を選択します。
すると、Online/Offline の欄がOfflineになったと思います。

これで.E01ファイルを物理ディスクとしてマウントすることができました。

VMware Workstationでの起動

VMware Workstationを起動する際は、必ず管理者権限で起動しましょう。
でないとディスクのマウントに失敗します。

新規VMを作成して、Custom(advanced)を選択します。
基本はいはい言ってればいいのですが、注意点をいくつか書いておきます。

Firmware Typeは.E01ファイルの設定によるので、勘でどっちか選びましょう。
起動しなければあとから設定変えて試しましょう。

Network Connectionは必ずナシにしておきましょう。
でないと起動した瞬間マルウェアの通信がどこかに飛んでいってエライことになる可能性があります。

インシデント対応者がインシデントを起こすというのは(本当に)よくある話なので、くれぐれも気をつけてください。インシデントを覗くとき、インシデントもまたこちらを覗いています。

ディスクの選択では Use a physical disk にチェックをいれてマウントしている.E01を選択しましょう。
ディスク番号がわからない場合は、diskpartやディスクの管理で調べましょう。

ということでVM作成して起動ボタンポチッとしたら動きました。
パスワードは気合で解除するか、元所有者にやさしく聞きましょうね。

https://zenn.dev/sum3sh1/articles/ef4c1f7a8ba267

おわりに

Arsenal Image Mounterは非常に便利なツールです。
特に、元ファイルを変更せずに書き込みマウントできるというのは素晴らしく、アンチウイルスソフトを掛けたい場合などにも重宝するので、一家に一台あってもいいと思います。

おしまい

参考サイト

https://www.reddit.com/r/computerforensics/comments/u80g7c/no_boot_after_conversion_of_e01/

Discussion