Conversión del Formato VDI hacia el Formato Raw (DD) para propósitos forenses

  • Posted on: 20 September 2024
  • By: ReYDeS

VBoxManage es la interfaz en línea de comandos de Oracle VM VirtualBox. Con esto se puede controlar completamente Oracle VM VirtualBox desde la línea de comandos del sistema operativo anfitrión. VBoxManage soporta todas las funciones a las cuales brinda acceso la interfaz gráfica de usuario, pero soporta mucho más a sólo esto. Expone todas las funcionalidades del motor de virtualización, incluso aquellas a las cuales no se puede acceder desde la GUI.

Archivos de Imágenes de Disco (VDI, VMDK, VHD, HDD)

Los archivos de imagen de disco residen en el sistema anfitrión, y son vistos por los sistemas invitados como discos duros de una geometría determinada. Cuando un sistema operativo invitado lee o escribe hacia un un disco duro, Oracle VM VirtualBox redirige la solicitud hacia el archivo de imagen.

Como un disco físico, un disco virtual tiene un tamaño o capacidad la cual se debe especificar cuando se crea el archivo de imagen. A diferencia de un disco físico, Oracle VM VirtualBox permite expandir un archivo de imagen después de su creación, incluso si ya contiene datos.

Oracle VM VirtualBox admite los siguientes tipos de archivos de imagen de disco:

VDI. Normalmente Oracle VM VirtualBox utiliza su propio formato de contenedor para los discos duros invitados. Esto es denominado como archivo de imagen de disco virtual (VDI). Este formato se utiliza cuando se crea una nueva máquina virtual con un nuevo disco.

VMDK. Oracle VM VirtualBox también soporta completamente el formato contenedor VMDK, el cual utilizan muchos otros productos para virtualización, como VMware.

VHD. Oracle VM VirtualBox también es soporta totalmente el formato VHD utilizado por Microsoft.

HDD. También se admiten los archivos de imagen para la versión 2 de Parallels (formato HDD).

Debido a la falta de documentación del formato, las versiones más nuevas, como la 3 y la 4, no son soportada. Se puede convertir tales archivos de imagen hacia la versión 2 del formato utilizando las herramientas proporcionadas por Parallels.

Se ejecuta el comando VBoxManage utilizando la opción clonehd. Esta opción crear un clon de un medio.

$ VBoxManage clonehd Win10-disk001.vdi Windows_10_For.dd -format raw

La opción “-format” especifica el formato del archivo del medio de destino, si es diferente del formato del medio de origen. Los valores válidos son VDI, VMDK, VHD, RAW y otros.

Por compatibilidad con versiones anteriores de Oracle VM VirtualBox, se puede utilizar los comandos clonevdi y clonehd, en lugar del comando clonemedium

Con el archivo en formato RAW (dd) o en crudo, se puede proceder a realizar un proceso de análisis forense, previa verificación de sus respectivos hashes.

Fuentes:

https://www.virtualbox.org/manual/ch08.html
https://docs.oracle.com/en/virtualization/virtualbox/6.0/user/vdidetails...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/


Libro Fundamentos de Hacking Web 2ed 2024
Libro Fundamentos de Hacking Ético 2ed 2024