Tuesday, April 7, 2015

Dealing with compressed vmdk files


Wherever I get vmdk files, I take a deep breath and wonder what issues might pop up with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. I recently received some vmkd files and when I viewed one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se in FTK Imager (and some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r mainstream forensic tools), it showed up as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 dreaded "unrecognized file system".

To verify that I had not received some corrupted files, I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMWares disk utility to check cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 partitions in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file. This tool showed two volumes, so it appeared cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file was not corrupted:




When I tired to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file using vmware-mount, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 drive mounted, but was not accessible. A review of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir documentation, specifically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limitation section, pointed out that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 utility could not mount compressed vmdk files:

You cannot mount a virtual disk if any of its files are encrypted, compressed, or have read-only permissions. Change cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se attributes before mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 virtual disk

Bummer. It appeared I had some compressed vmdk files.

So after some Googling and research, I found a couple different ways to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se compressed vmdk files - at least until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are supported by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainstream forensic tools. The first way involves converting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second way is by mounting it in Linux.

Which method I choose ultimately depend on my end goals. If I want to bring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file into one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mainstream forensics tools, converting it into anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r format may work cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best. If  I want to save disk space, time and do some batch processing, mounting it in Linux may be ideal.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first things I do when I get an image is create a mini-timeline using fls and some of Harlan's tools. Mounting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image in Linux enables me to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se tools without cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional overhead of converting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file first.

Method 1: "Convert"

The first method is to "convert" cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file.
I'm using "quotes" because my preferred method is to "convert" it right back to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmdk file format, which in essence, decompresses it.

The vmdk file format is usually much smaller cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 raw/dd image and appears to take less time time to "convert".

I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 free VBoxManger.exe that comes with VirtualBox. This is a command line tool located under C:\Program Files\Oracle\VirtualBox. This tool give you cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 option to convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed vmdk (or a regular vmkd) into several formats: VHD, VDI, VMDK and Raw. The syntax is:

VboxManage.exe clonehd "C:\path\to\compressed.vmkd" "C:\path\to\decompressed.vmdk" --format VMDK.

It give you a nice status indicator during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process:



Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 file is in a format that can worked with like any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r normal vmdk file.

Method 2: Mount in Linux

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 method that I prefer when dealing with LOTS of vmdk files. This method uses Virtual Box Fuse, and does not require you to decompress/convert cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vmkd first.

I had a case involving over 100 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se compressed files. Imagine cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 overhead time involved with converting 100+ vmdk files before you can even begin to work with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This way, I was able to write a script to mount each one in Linux, run fls to create a bodyfile, throw some of Harlan's parsers into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mix, and was able to create a 100+ mini-timelines pretty quickly.

There is some initial setup involved but once that's done, it's relatively quick and easy to access cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed vmdk file.

I'll run though how to install Virtual Box Fuse, how to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed vmkd file  mounted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n run fls on it.

1)Install VirtualBox:

sudo apt-get install virtualbox-qt

2) Install Virtual Box Fuse. It is no longer in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app repository, so you will need to download and install cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .deb file - don't worry, it's pretty easy, no compiling required :)

Download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .deb from from Launchpad under "Published Versions". Once you have it downloaded, install it by typing:

sudo dpkg -i --force-depends virtualbox-fuse_4.1.18-dfsg-1ubuntu1_amd64.deb

Note  - this version is not compatible with Virtual Box v. 4.2. At cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of this writing, when I installed Virtual Box on my Ubuntu distro, it was version 4.1 and worked just fine. If you have a newer version of virtual box, it will still work - you just unpack cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .deb file and run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 binary without installing it. See cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 thread here for more details.

3)Mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compressed VMDK file read-only


vdfuse -r -t VMDK -f /mnt/evidence/compressed.vmdk /mnt/vmdk

This will created a device called "EntireDisk" and Parition1, Parition2 etc. under /mnt/vmdk


(even though I got this fuse error - everything seems to work just fine)

At this point and time, you can use fls to generate a bodyfile. fls is included in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sleuth Kit, and is installed on SIFT by default. You may need to specify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offset for your partition.  Run mmls to grab this:


Now that we have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 offsets, we can run fls to generate a bodyfile:

fls -r -o 2048 /mnt/vmdk/EntireDisk -m C: >> /home/sansforensics/win7-bodyfile
fls -r -o 206848 /mnt/vmdk/EntireDisk -m C: >> /home/sansforensics/win7-bodyfile


Next, if you want access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 files/folders etc, you will need to mount cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EntireDisk Image as an ntfs mount for each partition. This is assuming you have an Windows system - if not, adjust cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 type accordingly:

Mount Partition 1, Offset 2048:


Mount Parition2, Offset 206848:



There are multiple ways to deal with this compressed format, such as using VMWare or VirtualBox GUI to import/export cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compresses file... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are just some examples of a couple of ways to do it. I tend to prefer command line options so I can script out batch files if necessary.












4 comments:

  1. I recently had a similar situation, and what I did was open VirtualBox (on Windows), and choose File -> Import Applicance..., pointing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 app to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 .ovf file that was included. The resulting .vmdk files were decompressed, and I could easily open cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in FTK Imager Lite.

    Thanks for sharing this process!

    ReplyDelete
  2. This comment has been removed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 author.

    ReplyDelete
  3. > Mount Partition 1, Offset 2048:

    You likely want to emphasize that offset (TSK returns) here is in sectors and that for a loop back mount you'll have to make this bytes

    Method 3: directly run plaso/dfvfs on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VMDK. It uses libvmdk which supports RAW, VMDK (sparse or compressed) and COWD (sparse used by ESX) VMDK images and removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to waste of time having by converting your images.

    Method 2 alternative: Use vmdkmount as an alternative (https://github.com/libyal/libvmdk/wiki/Mounting) to vdfuse that works on Linux, Mac OS X and Windows. Saves to having to run and maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Virtual Box Linux driver.

    ReplyDelete
  4. WinZip 19.5 opens cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se files directly.

    ReplyDelete