Практическое руководство по форензике VDI-образов (Windows/Linux)

1. Подготовка образа к анализу

Конвертация в RAW-формат:

qemu-img convert -f vdi -O raw original.vdi disk.raw

Определение структуры образа:
```
mmls disk.raw
```

Безопасное монтирование раздела (пример offset=2048):

losetup -r -o $((2048*512)) /dev/loop0 disk.raw
mkdir -p /mnt/forensic
mount -o ro,noload,noatime /dev/loop0 /mnt/forensic

2. Первичный поверхностный анализ

Сбор общих артефактов:
```
bulk_extractor -o bulk_out disk.raw
```

Построение временной шкалы событий:

fls -r -m / disk.raw > body.txt
mactime -b body.txt > timeline.csv

3. Глубокий анализ файловой системы

Восстановление удалённых файлов:
```
tsk_recover disk.raw recovered_files/
```
Карвинг файлов (если удалённые файлы не найдены):
```
foremost -t doc,jpg,pdf -i disk.raw -o foremost_output
```
Анализ ярлыков и пользовательских следов:
```
find /mnt/forensic -iname "*.lnk" -exec exiftool {} \;
```

4. Анализ реестра Windows (только для Windows-образов)

Использование RegRipper:

rip.pl -r /mnt/forensic/Windows/System32/config/SOFTWARE -f software > software.txt
rip.pl -r /mnt/forensic/Windows/System32/config/SYSTEM -f system > system.txt
rip.pl -r /mnt/forensic/Users/username/NTUSER.DAT -f ntuser > ntuser.txt

5. Анализ дампа оперативной памяти (если доступен)

Определение образа памяти:
```
volatility -f memory.raw imageinfo
```

Список процессов и открытых соединений:

volatility -f memory.raw --profile=Win10x64 pslist
volatility -f memory.raw netscan

Поиск паролей или ключей в памяти:
```
strings memory.raw | grep -Ei "(pass|pwd|token|key|auth)"
```

6. Поиск неочевидных улик и артефактов

Jump Lists:

find /mnt/forensic -name "*.automaticDestinations-ms" -exec strings {} \;

SRUM (для Windows 10+):

srum_dump.py -i /mnt/forensic/Windows/System32/sru/SRUDB.dat -o srum.csv

SQLite-данные (браузеры, мессенджеры):

find /mnt/forensic -name "*.sqlite" -exec sqlite3 {} ".tables" \;

7. Типичные ошибки (избегать обязательно)

Ошибка	Как избежать
Монтирование образа без защиты	Всегда использовать `ro,noload,noatime`
Работа напрямую с оригинальным образом	Всегда использовать копию
Запуск подозрительных программ внутри образа	Анализировать вручную с помощью CLI
Изменение атрибутов файловой системы (atime, mtime)	Использовать TSK (fls, icat) вместо стандартных команд

sudo apt install sleuthkit autopsy volatility3 bulk-extractor foremost scalpel exiftool qemu-utils plaso volatility-tools tshark sqlite3 wireshark reglookup