20 mars 2016

Boot sur une image disque

Je termine une expertise sur laquelle le démarrage de l'ordinateur m'a fait gagner un temps précieux : j'ai pu remarquer pas mal de choses à partir de l'environnement de travail (image de fond d'écran, écran de veille basé sur un diaporama d'images, disposition des icones sur le bureau, etc.). C'est fou ce qu'on peut apprendre de ce genre de petits détails...

Et rien de plus simple à constater qu'en démarrant l'ordinateur. Oui, mais il n'est pas possible de modifier le contenu du disque dur que je dois analyser (afin de permettre à d'éventuelles autres expertises de pouvoir être pratiquées dans les mêmes conditions). Et tout le monde se doute qu'il se passe plein de choses quand on démarre un ordinateur, et que la majorité de ces choses modifient le contenu du disque dur. C'est pour cela qu'il faut toujours travailler sur une copie fidèle du disque dur. Et démarrer l'ordinateur sous la forme d'une machine virtuelle.

J'ai déjà expliqué sur ce blog comment je pratique pour prendre une image bit à bit d'un disque dur (lire par exemple ce billet).

J'ai également expliqué comment je convertissais cette image en machine virtuelle à l'aide d'un logiciel qui s'appelle Live View (lire ce billet). Mais ce logiciel ne semble plus maintenu et je rencontre de plus en plus de difficultés à l'utiliser. Du coup, j'ai souvent utilisé directement les outils en ligne de commande de VirtualBox: il suffit en effet d'une seule ligne de commande pour convertir une image bit à bit en disque exploitable sous VirtualBox:

VBoxManage  convertfromraw  image.dd  image.vdi  --format VDI --variant Fixed

(la dernière option permettant d'avoir un disque de taille fixe, la valeur par défaut de VBoxManage étant un disque de taille dynamique).

Le problème de cette commande est qu'elle est gourmande en temps et en ressources disques, puisqu'elle crée un double de l'image initiale.

Depuis que j'ai migré mon poste de travail personnel de Windows vers la distribution GNU/Linux Mint, j'explore de manière plus systématique les outils de l'univers GNU/Linux.

J'ai ainsi découvert une "vieille" commande disponible sur presque toutes les plateformes: xmount. Cette commande permet de créer un disque VirtualBox directement à partir de l'image bit à bit, sans la modifier, en créant un cache contenant toutes les modifications qui seront apportées sur le disque.

Ma procédure est maintenant la suivante:
mkdir toto
xmount  --out  vdi  --cache  image.cache  image.dd  ./toto

Je trouve ensuite dans le répertoire "toto" le fichier disque que j'utilise dans la machine virtuelle que je crée ensuite dans VirtualBox.

Si je ne connais pas les mots de passe Windows, je démarre la machine virtuelle avec le live cd ophcrack ou avec offline NT password. Si j'ai un écran bleu de la mort (parce que Windows n'aime pas démarrer sur du matériel différent de celui sur lequel il a été installé), j'utilise OpenGates qui fait office de baguette magique (sous Windows).

Je pose ça ici, si cela peut aider quelqu'un à booter sur une image disque. Il y a beaucoup d'autres méthodes et outils, mais ce sont ceux que j'utilise en ce moment.

PS: Je dois être l'un des derniers à utiliser "toto" dans mes exemples informatiques, mais les étudiants en rigolent encore, alors bon :-)

10 commentaires:

  1. J'ai 32ans et j'utilise toto (et ses cousins tata tutu titi) comme nom générique. Vous n'êtes pas seul !

    RépondreSupprimer
  2. J'utilise aussi toto, tata, foo et bar
    Et j'en profite pour glisser l'adjectif «métasyntaxique» dans mon explication ;-)

    RépondreSupprimer
  3. Je suis un jeune expert judiciaire belge en informatique retraité et il y a peu, j'ai créé un user totor... Il n'y a pas d'âge.

    RépondreSupprimer
  4. echo "gcc -c toto.c -o toto.o" > toto

    RépondreSupprimer
  5. Bonjour,

    Continuez-vous à utiliser Mint après les failles de sécurité dont ils ont été victimes, et surtout après la mise en lumière de leur gestion très éloignée de toutes les recommandations et bonnes pratiques en la matière:
    https://lwn.net/Articles/676662/

    RépondreSupprimer
    Réponses
    1. Pour l'instant, c'est la distribution la plus "user friendly" que j'ai trouvée (vous savez, les goûts et les couleurs...), mais je suis prêt à changer vers de plus verts pâturages ;-)

      Supprimer
  6. Bonjour,

    Est-ce que vos commandes fonctionnent avec des images format .E01 (Encase) ?

    Merci d'avance !

    RépondreSupprimer
    Réponses
    1. Aucune idée, je n'utilise pas Encase. Mais une rapide recherche Google montre qu'il y a des conversions possibles.

      Supprimer
  7. Je suis intriguée par ce que peux révéler un environnement de travail. Bon si on regarde le mien on sait que je suis bordélique et gameuse mais sinon ? Si vous avez le temps et l'envie de faire un article à ce sujet...

    RépondreSupprimer
    Réponses
    1. C'est surtout une question de gain de temps : en un clin d’œil, il est possible de voir pleins de petits détails tels que : image de fond d'écran, liens stockés sur le bureau, dossiers stockés sur le bureau, applications souvent utilisées. Pas sur que j'arrive à en faire un billet ;-)

      Supprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.