VMware 이미지를 대상으로 분석할 일이 생길까? 하는 생각을 얼마전에 해본 것 같은데, 오늘 VMware 이미지 분석 요청이 들어왔습니다.
VMware 에서 VMware Workstation 5.5 Disk Mount Utility 를 무료로 배포하고 있어 이 유틸리티를 이용하여 기본적으로 탐색기에서 파일 브라우징이 가능합니다.
VMware 이미지가 존재하는 폴더에 다양한 확장자가 존재하는데, 그 중 vmdk 가 VMware virtual disk file 입니다.
지정한 VMware 디스크 이미지를 z 드라이브로 마운트 하는 경우
C:\> vmware-mount.exe z: e:\case\AF201201-01.vmdk
위와 같은 명령으로 가상 디스크를 마운트한 경우 원본 데이터가 회손되어 디지털 포렌식적인 증거자료로 사용할 수 없게됩니다. 또한 VMware 의 스냅샵(Snapshot) 기능을 사용했을 경우 쓰기방지 설정없이 마운트 할 수 없었습니다.
C:\> vmware-mount.exe z: e:\case\AF201201-01.vmdk /m:n
아래는 마운트한 z 드라이브를 해지하는 경우 입니다.
C:\> vmware-mount.exe /d z:
C:\> vmware-mount.exe /f z:
이렇게 디스크를 마운트하여 탐색기를 통해 파일 단위로 분석이 가능하며, 마운트한 드라이브를 이미징 작업을 통해 EnCase 이미지나 dd 이미지 파일로 작성하여 다른 분석도구에서도 분석하실 수 있겠습니다.
VMware-mount.exe 를 사용하다가 에러 메시지가 출력되면서 Check the logfile for more details. 와 같은 로그가 출력되는데, 여기서 logfile 은 아래와 같은 위치에 존재합니다.
%temp%\vmware-<user>-<nnnn>\vmount.log
%temp%\vmware-<user>-<nnnn>\vmount-client.log
만약 VMware Workstation 6.5 이상의 버전을 사용하고 계신다면 GUI 버전인 VMware Client 에서 간단하게 마운트 할 수 있습니다. (※ 아래그림 참고)
* 참고
[1] VMware Disk Mount User's Guide
