miércoles, 5 de noviembre de 2008

Live View: arrancando un fichero de imagen

Live View es una herramienta utilísima, con un interfaz gráfico basado en java. Nos permite, a partir de una imagen en formato raw (un fichero obtenido mediante dd, por ejemplo), crear los ficheros de configuración necesarios para arrancar el sistema contenido en la imagen como una máquina virtual de vmware.

En concreto soporta los siguientes formatos:

  • Imágenes raw de discos completos
  • Imágenes raw de particiones marcadas como iniciables
  • Discos físicos (conectados mediante firewire o USB)
  • Formatos de imagen propietarios (utilizando utilidades de terceros para montar las imágenes)
y que contengan los siguientes sistemas operativos:
  • Windows 2003, XP, 2000, NT, Me y 98
  • Linux (con soporte limitado)
Vamos a ver un ejemplo, y para ello vamos a arrancar la imagen de un sistema operativo Windows 2003 proporcionada para el tercer reto de análisis forense del UNAM/CERT. Podemos descargala desde la página del reto.

Una vez descargado el fichero y extraida la imagen abriremos la interfaz de LiveView:


Las opciones son bastante elocuentes, no obstante repasémoslas juntos:
  • RAM Size: cantidad de la RAM del sistema físico asignada a la máquina virtual.
  • System time: fecha y hora que utilizará la máquina virtual en su configuración.
  • Operating System: en este caso la opción a escoger es simple, pero en caso de no conocer este dato podemos indicar que el programa intente autodetectar su valor.
  • Select Your Image or Disk: aquí indicaremos si se trata de un fichero de imagen o de un disco físico, así como el directorio donde se encuentra y donde ubicaremos los ficheros de configuración resultantes.
  • What do you want to do? Elegiremos si queremos lanzar la imagen (evidentemente tendremos que haber instalado previamente el servidor de VMWare) o únicamente generar los ficheros de configuración para lanzar la imagen en otro momento.
Una vez seleccionados los parámetros adecuados iniciaremos el proceso (botón Start). Si el fichero de imagen original no tiene establecido el atributo de sólo lectura aparecerá un mensaje sugiriéndonos la posibilidad de establecer automáticamente dicho atributo:


Una vez finalizado el proceso obtendremos, en el directorio seleccionado como destino, los ficheros de configuración necesarios para lanzar la imagen como una máquina virtual de VMWare.


Como hemos podido apreciar en esta pequeña introducción se trata sin duda de una utilidad que nos permitirá analizar el sistema vivo, ofreciéndonos un nuevo enfoque de los datos que podamos haber extraido del análisis offline de la imagen.

5 comentarios:

David B. dijo...

Una duda. Si uso una aplicación de terceros (tipo Norton Ghost por ejemplo) para de forma automatizada y periódica hacer una imagen de mi disco de sistema, por ejemplo en un disco adicional de backup, ¿podría eventualmente usar Live View para hacer que esa imagen de disco se transformara en una máquina virtual de VMware, una máquina que podría arrancarse desde VMware Player?
Si es así, podríamos encontrarnos ante un sistema de garantía de disponibilidad de máquinas frente a posibles averías hardware.
¿Lo he entendido bien?

Gracias y sigue con este buen trabajo!

neofito dijo...

Hola David ;)

Me temo que si lo que estas buscando es su integracion en un metodo para garantizar la disponibilidad de tu sistema no es la herramienta adecuada.

Para el caso de norton ghost, en teoria puede utilizarse vmware converter para obtener la maquina virtual a partir de la imagen, pero solo he hecho una prueba y el proceso fallo casi al final.

David B. dijo...

Yo creo que puedo conseguir que Ghost cree imágenes de disco de forma automatizada y desasistida. Esto ya sé hacerlo.

Me había ilusionado con las posibilidades de Live View... ¿No podría usar Live View para arrancar una de esas imágenes de disco en otro PC? ¿Qué limitaciones tendría esa máquina una vez arrancada con Live View? ¿Quizá no se puede modificar, no hay permisos de escritura, es un proceso read-only, o hay algún otro problema que se me escapa?

Siento la insistencia, si es off-topic dejamos estar este hilo...

neofito dijo...

No me parece que el contenido del hilo sea offtopic, asi que sigamos.

Lo que si puede hacerse es arrancar un sistema operativo que se encuentre en un disco extraido de otra maquina.

Por otra parte las imagenes realizadas con Norton Ghost creo que no las soporta.

Mas de eso seria cuestion de probarlo.

manuonda dijo...

Hola que tal neofito queria realizarte una consulta. No se si viste los juegos de la comunidad de DragonJar queria saber a partir de una imagen VMWARE como puedo obtener la imagne DD y montarlo para despues utilizar CAIN. Bueno estoy aprendiendo .
Muchas Gracias Saludos