Español | English
rss facebook linkedin Twitter

Live Forensics Mac OS X (II)

Continuando con el post de la semana pasada, se va a ver lo necesario para virtualizar correctamente un disco físico con un sistema Mac OS X, usando esta vez VMWare.

Se necesitará lo siguiente:
Hacemos uso de VMWare Player puesto que se trata de una solución gratuita y, dado que en este caso no dispone de soporte EFI, se hará uso del sistema de arranque alternativo Empire EFI, el cual no es más que una ISO que puede servir de disco de arranque para sistemas Mac OS X que hace uso del bootloader Chameleon.

Por lo tanto, en primer lugar se convierte la imagen obtenida previamente del disco físico a una imagen compatible con VMWare usando Qemu de la siguiente manera:

 $sudo qemu-img convert –f raw imagen.dd –O vmdk imagen.vmdk

Posteriormente se necesita generar un archivo de configuración .vmx asociado al anterior. Para ello se crea un archivo de texto con dicha extensión y se añade algo como lo siguiente:

#!/usr/bin/vmware
.encoding = "UTF-8"
config.version = "8"
virtualHW.version = "7"
numvcpus = "4"
cpuid.coresPerSocket = "4"
scsi0.present = "TRUE"
scsi0.virtualDev = "lsilogic"
memsize = "2048"
ide0:0.present = "TRUE"
ide0:0.fileName = "imagen.vmdk"
ide1:0.present = "TRUE"
ide1:0.autodetect = "TRUE"
ide1:0.deviceType = "cdrom-image"
floppy0.startConnected = "FALSE"
floppy0.fileName = ""
floppy0.autodetect = "TRUE"
ethernet0.present = "TRUE"
ethernet0.connectionType = "nat"
ethernet0.virtualDev = "e1000"
ethernet0.wakeOnPcktRcv = "FALSE"
ethernet0.addressType = "generated"
usb.present = "TRUE"
ehci.present = "TRUE"
sound.present = "TRUE"
sound.fileName = "-1"
sound.autodetect = "TRUE"
pciBridge0.present = "TRUE"
pciBridge4.present = "TRUE"
pciBridge4.virtualDev = "pcieRootPort"
pciBridge4.functions = "8"
pciBridge5.present = "TRUE"
pciBridge5.virtualDev = "pcieRootPort"
pciBridge5.functions = "8"
pciBridge6.present = "TRUE"
pciBridge6.virtualDev = "pcieRootPort"
pciBridge6.functions = "8"
pciBridge7.present = "TRUE"
pciBridge7.virtualDev = "pcieRootPort"
pciBridge7.functions = "8"
vmci0.present = "TRUE"
roamingVM.exitBehavior = "go"
displayName = "Mac OS X"
guestOS = "darwin"
nvram = "imagen.nvram"
virtualHW.productCompatibility = "hosted"
extendedConfigFile = "imagen.vmxf"
ide1:0.fileName = "LegacyBootCD.iso"
ethernet0.generatedAddress = "00:0c:29:bc:86:69"
uuid.location = "56 4d c6 30 f2 64 ca 05-a7 fd bc ba bb bc 86 69"
uuid.bios = "56 4d c6 30 f2 64 ca 05-a7 fd bc ba bb bc 86 69"
cleanShutdown = "TRUE"
replay.supported = "FALSE"
replay.filename = ""
ide0:0.redo = ""
pciBridge0.pciSlotNumber = "17"
pciBridge4.pciSlotNumber = "21"
pciBridge5.pciSlotNumber = "22"
pciBridge6.pciSlotNumber = "23"
pciBridge7.pciSlotNumber = "24"
scsi0.pciSlotNumber = "16"
usb.pciSlotNumber = "32"
ethernet0.pciSlotNumber = "33"
sound.pciSlotNumber = "34"
ehci.pciSlotNumber = "35"
vmci0.pciSlotNumber = "36"
vmotion.checkpointFBSize = "16973824"
ethernet0.generatedAddressOffset = "0"
vmci0.id = "771566075"
tools.syncTime = "FALSE"
isolation.tools.hgfs.disable = "TRUE"
sharedFolder.maxNum = "1"
usb:0.present = "TRUE"
usb:1.present = "TRUE"
usb:1.deviceType = "hub"
usb:0.deviceType = "mouse"
checkpoint.vmState = ""
sharedFolder0.present = "FALSE""

Donde...

  • ide0:0.fileName = Nombre de nuestra imagen VMWare.
  • displayName = Nombre que se le quiera dar a la Máquina Virtual.
  • extendedConfigFile = Nombre que se le quiera dar al archivo de configuración extendida. (Autogenerado).
  • nvram = Nombre que se le quiera dar al archivo de memoria de la Máquina Virtual. (Autogenerado).
  • ide1:0.fileName = Nombre del archivo .iso del cargador de arranque EmpireEFI descargado previamente.

Solo remarcar que todos los anteriores ficheros han de estar en el mismo directorio.

Llegados a este punto, se arrancaría VMWare Player y abriría el archivo .vmx creado anteriormente. Al arrancar la máquina, se presiona la tecla ESC para seleccionar la unidad de arranque y se elige CD-ROM (Si presionamos F2 accederíamos a la BIOS y podríamos cambiarlo de forma permanente).

Por último, una vez cargado el menú del bootloader se elige la opción "mac" y ya podríamos proceder a realizar el análisis online del sistema.

Como nota final, decir que nuestras pruebas han sido hechas con una imagen de un sistema Mac OS X 10.6.4 y que en el caso de VMWare Player fue necesario el uso de la versión Legacy de EmpireEFI.



Santiago Vicente
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login