Virtualbox - encase

Bonjour a tous,

je vous explique la situation, je suis actuellement en stage dans une entreprise d’investigation légal.
Donc l’entreprise reçoit un bon nombre d’ordinateur fixe, portable, tablette etc… Une fois les ordinateurs récupérés, ils créent une image du disque dur sous un format Encase (.E01). Mon objectif est de créer une VM sous virtualbox de ces fichiers E01, pour simuler le pc d’origine.

Alors pour se faire, j’utilise Access Data FTK Imager pour monter l’image E01 (physique et logique), l’image apparaît donc en temps que physicalDrive2 et apparaît aussi dans le poste de travail et je peux donc me balader dans les dossiers (tout marche parfaitement).

Ensuite je crée un .VMDK a partir du disque que j’ai monté, j’utilise donc la commande “VBoxManage InternalCommands createrawvmdk -filename c:MonImage.vmdk -rawdisk .physicalDrive2” pour créer le fichier VMDK, celui ci se crée bien.

Je crée ensuite ma VM dans virtual Box avec le .VMDK et au moment de lancer ma VM, en arrivant au lancement de Windows, j’ai le droit a un beau blue screen.

Je ne sais pas d’ou vient le problème, tout ce que je sais c’est qu’en désactivant l’option “Activer les IO-APIC” les 2 seuls VM qui fonctionnent (2 sur 25 ^^) me font un blue screen. J’ai déjà essayer pas mal de chose avec Hiren’s bootCD mais sans grand succès.

Si ça peut être utile a dire, je ne connais absolument rien a l’image que je dois virtualiser, je ne sais pas si l’OS est un XP, Vista, 2000 ou même une contrefaçon de Windows et je ne sais pas non plus qu’elle est la config du pc.

Si vous avez une idée, je suis preneur!

Merci d’avance.

Cordialement

Grégoire Meurillon
Edité le 04/07/2014 à 16:34

Selon la version de Windows il peut tout simplement ne pas pouvoir démarrer lorsque la configuration matérielle est différente, en général c’est surtout vrai pour les versions jusqu’à XP si le contrôleur de disque est différent. :neutre:

Oui j’avais lu ça quelque part
Je vais essayer en changeant le contrôleur de disque mais j’ai un doute sur le fait que ça change quelque chose ^^

Juste une idée :
Et la configuration logiciel ?
Il n’y aurait pas une impossibilité avec les versions type " home "… Peut-être que cela ne fonctionnerait qu’avec les versions intégrales ?

Cordialement

Comme je le pensais, en utilisant un autre contrôleur de disque, le problème reste le même
Je n’ai pas tout compris a votre idée Terdef

Ca ne change absolument rien.

Toutes les versions d’XP peuvent tourner dans une machine virtuelle.

c’est donc ça qu’il voulait dire ^^
oui je pense que n’importe quelle version peut tourner sous VM

pour le moment, la VM d’un XP pro fonctionne et la VM d’un Windows lsd aussi mais pour tout le reste c’est mort

En tout cas, je suis en train d’essayer de les passer via linux, peut être que j’aurai plus de chance

chipset pas concordant, mode ide au lieu de ahci, et peut etre un problème de lettre de lecteur de la partition système pour un windows en version xp et d’avant

a l’epoque de windows xp et avant, quand on change de carte mere en prenant un autre chipset que celui de la carte mere initiale sans réinstaller windows on a un ecran bleu au demarrage au moment ou cela devrait mettre le logon (c’est pas un BSOD me semble, mais peut etre juste un curseur qui clignotte sur fond bleu)
donc remplacement intel par intel , et pas intel par nvidia/via/amd …

par contre un problème de mode ahci au lieu de ide cela fait un BSOD me semble

les problèmes de chipset et mode ide ne passent pas même en mode sans échec, mais le mode sans échec contourne les problèmes sur les autres pilotes normalement , donc tu as bien essayé de spammer la touche F8 pour démarrer en mode sans échec?

pour avoir acces aux fichiers et arborescences de l’image d’un hdd tu peux ajouter le .vhd dans configuration > stockage d’un windows qui marche dans virtualbox
ainsi si dans la partition système d’un hdd tu as un fichier c:\windows\explorer.exe c’est deja que c’est un windows, et si tu fais proprietes dessus puis detail/version tu auras la version du fichier et en la comparant avec le tableau la : en.wikipedia.org… tu auras la génération de windows, c’est aussi possible a identifier avec la toute premiere image/animation pendant le premier chargement

exemple : j’ai ajouté le vhd de mon win7 virtuel dans la configuration>> stokage de mon winxp dans virtualbox
dans ce winxp j’ai acces au hdd de win7, en faisant proprietes puis version sur le fichier c:\window\sexplorer.exe j’obtiens bien un debut de version en 6.1

en tout cas je pense que virtualbox sous windows est similaire a virtualbox sous linux, en particulier si ton hote est un windows 64bits (car je crois qu’il y a des restrictions sur le type de client sur un windows 32bits (virtualisation d’un OS 64bits sur un hote 32bits))
il y a que 2 chipsets dispo sous virtualbox, et pas de chipset amd , donc les cartes mères en chipset amd sous windows xp ne marcheront pas normalement

peut etre tester avec vmware player www.clubic.com…, mais je doute que ce soit plus la joie au niveau chipset
me semble qu’un hyperviseur contrairement aux logiciel de virtualisation conserve le matos du pc hote, donc faudrait un pc pour chaque type de chipset pour pouvoir tout passer (mais j’avoue que j’y connais rien en hyperviseur, par instinct je dirais que c’est pas utilisable dans ton cas avec tes fichiers images disque)
Edité le 10/07/2014 à 18:29

Bonjour!

Merci, ton poste m’a appris pas mal de truc que je ne savais pas

oui j’ai déjà essayer de changer le chipset, de mettre un contrôleur sata etc… mais toujours un écran bleu
et même avec le mode sans échec c’est la même chose.

Tu penses qu’il n’y a aucun moyen que ça fonctionne sous VB? Et penses tu qu’avec un hyperviseur ça marcherai?

Merci !

Pourquoi cherches tu absolument a démarrer cette installation ne fait ?

Rien n’empêche de récupérer les données sans démarrer le Windows présent sur le disque dur en question.

oui je sais, j’arrive très bien a voir tous les dossiers, fichiers etc…

Mais je boss dans une boite d’investigation légal, donc en gros, mon boss veut pouvoir simuler le/les pc qu’il reçoit et il veut éviter le plus possible de devoir les cloner et pouvoir directement les consulter en VM.

On ne doit pas modifier le Windows, on doit le laisser comme on l’a reçu d’origine, donc je pense qu’avec une VM on pourra bouger un peu les choses sans conséquence

c’est tordu, mais peut etre qu’il est possible de faire des scripts (un par generation de windows) pour injecter le bon chipset dans la base de registre et les bons fichiers du pilotes aux bons endroits ??
en gros faudrait copier la bonne partie de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\PCI d’un bon pc aux autres xp, et peut etre d’autres lignes ailleurs dans la base de registre + les bons fichiers dans les bons repertoires

par exemple, faire un listing complet/instantané de la base de registre et d’un systeme tout neuf sous virtualbox, installer un pilote de chipset correct pour virtualbox, faire un nouvel instantané et jouer au jeu des differences dans la base de registre et dans les repertoires de windows (avec par exemple www.nirsoft.net… )
puis faire un script pour injecter ces differences dans un OS qui ne fonctionne pas
cela toucherait qu’au pilote problematique et pas aux soft/parametre

mais je sais pas si c’est faisable a coup de charger/decharger une ruche dans regedit (http://smallvoid.com/article/winnt-offline-registry-edit.html) ou avec reg.exe et ces commandes pour la partie base de registre (a moins que des outils alternatif permettent cela ?)

pour l’hyperviseur, j’y connais rien, juste que c’est plus proche du matos du pc hote et qq autres details, mais jamais testé

me semble que tu pourrais essayer de simplement booter sur ton VHD (on peut convertir un vmdk en vhd facilement je crois) directement sans passer par un hyperviseur ou virtualisation , tu perds la securité de la virtualisation, et il faudra un pc en chipset amd et un autre en chipset intel pour couvrir les besoins des 2 principaux chipset actuellement
demarrage sur un vhd : www.itpro.fr…[/url] [url=http://www.geekmag.fr/installer-windows-8-et-booter-sur-un-disque-virtuel-vhd/]www.geekmag.fr…
Edité le 11/07/2014 à 12:13

Quid du démarrage en mode sans échec sinon ?

Si ça démarre, essaie de supprimer les pilotes lié au chipset dans le gestionnaire de périphériques, pour voir si ça redémarre après en mode normal. :neutre:

c’est une bonne idée feunoir mais je ne pense pas avoir les compétences nécessaire pour me lancer dans des scripts, je risque juste de faire n’importe quoi ^^

le fait de booter sur un VHD est une bonne idée, mais certain ordinateur que l’ont reçoit sont rempli de virus et de saloperie du genre, ce n’est pas dangereux pour le Pc hôte? je n’ai pas vraiment envie d’infecter le Pc de mon patron

non même en mode sans échec, le problème reste le même.
Edité le 15/07/2014 à 08:42

a priori y aurait moyen en faisant une reparation de windows de reparer un probleme de mauvais chipset

pour cela faudrait surement ajouter une iso de la bonne version du dvd d’installation dans virtualbox : ajout d’un lecteur dvd contenant l’iso qu’il faut (un winxp = un dvd win xp, un win7 sp1 = un dvd win7 sp1 si possible)

puis faire comme sur une machine physique : demarrage sur le dvd en appuyant sur F12 puis sur “c”
puis reparer windows
faire des tests que sur copie du .vmdk original avant quand même

j’ai un peu changé de méthode pour la virtualisation (pour tester) a la place de passer par un fichier .E01, je passe par un fichier DD, c’est beaucoup plus long mais en bidouillant un peu avec le cd de Windows, j’ai reussi a faire passer une VM qui ne fonctionné pas avant. Mais j’ai peur qu’au final le même problème revienne.

Je continue de tester avec d’autre disque dur mais en faire une image prend beaucoup de temps ^^’ on verra bien la suite