cellebrite UFED on CSI: NY

Digital Forensics with Open Source Tools

By Cory Altheide, Harlan Carvey

Digital Forensics with Open Source Tools
ISBN: 9781597495868
Pages: 400
Trim: 7.5 in x 9.25 in
Publication Date: May 2011
 
 
Description
Based on the use of open source tools, this book lends itself to many organizations as well as students who do not have means to purchase new tools for different investigations.Well known forensic methods are demonstrated using open-source computer forensic tools (Sleuthkit, Foremost, dcdd, pyag, etc.) for examining a wide range of target systems (Windows, Mac, Linux, Unix, etc.).The digital forensics industry is growing a rapid pace and this book is perfect for someone entering the field that does not have access to corporate tools.
  • Written by world-renowned forensic practitioners
  • Covers open source forensics tools for all major systems: Windows, Mac, and Linux
  • Uses the most current examination and analysis techniques in the field

About the Authors

Cory Altheide

Security Engineer at Google

Harlan Carvey

Internationally renowned Forensic Analyst

Contents
  • Chapter 1: Digital Forensics with Open Source Tools
    Chapter 2 The Open Source Examination Platform
    Chapter 3: Disk & File System Analysis
    Chapter 4 Windows Systems and Artifacts
    Chapter 5: Linux Systems & Artifacts
    Chapter 6: Mac OS X Systems & Artifacts
    Chapter 7: Internet Artifacts
    Chapter 8: File Analysis
    Chapter 9: Automating Analysis & Extending Capabilities
    Appendix A: Free, Non-Open Tools of Note

Memory Visualization Tools

This is the 3rd revision of memory map visualization tools list where I include IDA Pro and a visualizer from Debug Analyzer.NET (every category is presented in chronological order of my encounter with links):

1. Synthetic


2. Natural

a. Static
b. Semi-dynamic
c. Dynamic




轉自 http://www.dumpanalysis.org/blog/index.php/2011/01/25/memory-visualization-tools/

Windows 7 Recycle Bin EnScript

I recently received an email from a friend who I had worked closely
with years ago and who I have always considered to be a mentor. Everyday
we worked together he would challenge me and make me think about
various forensic procedures and come up with innovative solutions. His
name is Bruce Pixley and I miss working with him.

Bruce recently had a need to parse out some deleted files that were in
the recycle bin of a Windows 7 image, but the corresponding $R files
were gone. He restored several of the shadow volume instances and found
several of the $I files, but the $R files were not present. He needed a
way to parse just the $I index files and build a report.


Bruce ended up writing a simple EnScript to parse selected $I files in
the recycle bin of a Vista/7 image. He sent me the EnScript to post as a
learning process for others.


/*


Windows 7 Recycle Bin Report (Version: 1.0)

Select $I files found in the Windows 7 $Recycle.Bin folder that you want decoded

Enscript will create a tab-delimited file in the case export folder

Created by: Bruce W. Pixley, CISSP, EnCE

Date: 12/1/2010

*/



You can read the comments inside the EnScript for specific details of how he is parsing the data.

You can download a copy of the EnScript here


轉自 http://www.forensickb.com/2010/12/windows-7-recycle-bin-enscript.html





從數位鑑識看資料銷毀

作者:賴左罕 -01/17/2011

萬眾矚目的個人資料保護法終於正式通過了。雖然政府還沒有正式公告實施,但對企業而言,要如何達到符合個人資料保護法的規範將會是真正的挑戰(編註)。個人資料保護法預計可能會在明年年底左右正式公告實施,所以企業已沒有太多時間做完善的準備工作,因此即早準備因應政策會是較明智之舉。


以目前硬體及軟體技術進步的速度來看,電腦資訊硬體設備的汰換率漸漸提高。桌上型電腦大約每三年就會遇到硬體昇級,筆記型電腦也大約是兩三年的汰換週期,而手機更是每一到兩年就會汰換。這些電腦資訊設備現在都內建有相當高容量的記憶儲存媒體,因此企業在汰換這些設備時,要如何確保在汰換的過程中,這些曾經用來處理商業資料的設備不會變成洩露個人資料的媒介。這也就是企業要瞭解資料銷毀程序的重要性及關鍵性。


資料外洩實例

這幾年在世界各先進國家都發生許多類似的個人資料或商業機密外洩的案例,而許多這些案例都是因為企業對資料銷毀的不重視或不謹慎,而造成違反個人資料保密相關法令的結果。我們可以從以下各案例了解企業洩密和資料銷毀之間的直接關聯性。舉一個最簡單的例子,我們可以從eBay 上買回來的硬碟來看。


最近英國有一位資訊經理在 eBay 上花了77英鎊(約合新台幣4,000元左右)買到一顆外接硬碟,但當他收到這顆硬碟接到電腦上,發現裏面並未經過清理,並儲存著一個光碟映像檔(ISO),這個檔案裏面包含了幾百萬筆的銀行客戶資料及信用卡用戶資料,涉及三家不同的銀行。這些客戶資料包含用戶的個人資料、住址、電話、手機號碼、銀行帳號、信用卡號資料,甚至用戶的簽名等各項個人隱私資料。


英國電信公司做了一個研究,他們在 eBay上從世界各地買了三百顆硬碟,包括英國、美國、德國、法國及澳洲。在這三百顆硬碟中,他們發現有 34% 的硬碟中儲存有關於個人隱私資料、商業策略機密、國防軍事機密、金融交易記錄、醫療及病人記錄、員工個人機密資料等。


其中一顆來自美國的硬碟,包含了美國軍方在伊拉克使用的防空飛彈系統藍圖、安全政策、操作人員的個人機密資料等。

另一顆來自法國的硬碟,包含了德國領事館在巴黎的網路資料及網路安全記錄檔。

一顆來自英國的硬碟,包含了一家英國時尚公司的交易記錄及另一家汽車製造商有關於和西班牙交易的五億美元提案。另外有兩顆硬碟,則包含了國家健保局和醫院的醫療記錄,病患的X光片、醫院病患和員工的個人隱私資料等。

而一顆來自澳洲的硬碟,裏面則存有病患的照片及他們傷口的照片及記錄。


我們可以由上述的各實例看到,這些實驗僅使用一般的資料還原技巧,有些甚至沒有使用任何資料還原技巧,便能找到各種個人及商業機密資料,所以更別說如果使用數位鑑識的技巧來進行資料的還原。這不禁會讓我們思考,為什麼這些硬碟沒有經過資料銷毀程序就被再度流出到市面上重新再被使用?又或者這些硬碟的確是經過資料銷毀程序,但並沒有被確切的執行實施?難道資料銷毀這樣的程序是如此的困難不可行?又或者是其實企業並不重視資料有沒有被確切的銷毀?還是企業所授權的資料銷毀外包商收了錢卻沒有確實的銷毀資料呢?


資料銷毀技巧

資料銷毀可大致分為以下三類方式:物理性實體破壞、電磁波資料消磁、軟體資料覆寫。以下深入說明:

第一、物理性實體破壞

物理性實體破壞的技巧可以算是最安全且最有保障的技巧,因為使用這種技巧會將硬碟本身完全的破壞到無法再重覆使用的程度。這種技巧主要分為兩種方式:

1.硬碟鑽毁方式:

這種方式是利用一台大型的電鑽置於上方,並將硬碟固定在電鑽下面的平台,然後由上往下再鑽,直接將硬碟從內部碟片的區域把整顆硬碟鑽穿。破壞一顆硬碟的過程僅需要十秒鐘。這樣的技巧可以對整顆硬碟的機械結構,內部的旋轉馬達以及硬碟的資料讀取臂進行實際的破壞,讓硬碟無法再運作,最重要的是將硬碟內部的碟片中間的固定部份做實際的破壞而造成碟片彎曲變形,所以就算想要將其內部的碟片取出安裝在別顆硬碟中進行讀取也是不可能達到的。這種方式雖然快速且有效,但僅適用於硬碟,而且日後對己破壞的硬碟環保回收可能不易。

2.硬碟絞碎方式:

這種方式則是利用一般碎紙機的原理,將硬碟丟進硬碟絞碎機中,它便會將硬碟絞成一小塊一小塊的小碎片。利用這樣的技巧,任何硬碟都無法再運作,而所絞碎的碎片也不可能再還原成硬碟或利用任何其它方式從碎片中將原本的資料還原。這樣的技巧可以算是對硬碟資料銷毀最有效也最方便的方式,它不僅可以處理各式硬碟,還可以處理各種不同的資料儲存媒體,包括光碟,軟碟,隨身碟,各式憶記卡等。不過環保資源回收所有的硬碟碎片可能十分不容易,需要有專門的環保公司使用專門的分類機器才能達到。


第二、電磁波資料消磁

這種方式是利用強烈的電磁波,將使用電磁技術儲存資料的媒體上所儲存的資料(這些資料屬於電磁記錄)消磁,所以經過消磁程序後,這些儲存媒體本身並不會有任何實體破壞的痕跡,但其內部所儲存的各式資料將會消失殆盡,而且可以在同一時間內對數量龐大的儲存媒體進行資料消磁的程序,因此效率非常高。不過此種方式並不適用於任何利用光碟技術儲存的媒體,例如:CD/DVD 光碟片,MO可複寫式光碟片等。

第三、軟體資料覆寫

這種方式是利用硬體設備或軟體程式對儲存媒體進行資料覆寫的程序,利用多次的資料覆寫方式將原本所儲存的資料蓋過,使其無法被還原。這樣的方式不會受到不同作業系統的限制,也不會受到不同的檔案系統格式的限制,而且可以客製覆寫的次數及內容,最重要的是不會對所覆寫的儲存媒體造成任何損壞。不過由於要將所有的儲存空間全部經過多次覆寫,因為所需的時間會因儲存媒體的容量大小及覆寫次數多少影響。而且無法對受損或不正常運作的媒體進行覆寫程序,也無法對單次寫入的光碟媒體進行刪除覆寫。

其實以上所述的各種資料銷毁方式,對刪除資料本身都可以算是非常的有效,各有其優缺點。

從個人資料保密及數位鑑識的角度來看,那一種資料銷毁的方式可以算是最多元化最保險且最有效率呢?其實最理想的方式是物理性實體破壞方式。而從經濟且實用性的層面來看,軟體資料覆寫的方式則是最好的選擇。若是以所需處理的數量多少及速度快慢的角度來看,則是電磁波消磁方式最有效率。


制定資料銷毀政策 評估合適方案

以上的各種方式,雖然對資料銷毁都非常有效,但並非十全十美,因為仍然會遇到一些實務執行上的問題。

     
(1)不符合經濟效益。例如,採取物理性實體破壞的方式,一般的企業大多不會自行採購專業的物理性實體破壞機器,因為可能機器太昂貴或是所需銷毁的儲存媒體數量不多,所以並不符合成本效益。因此有企業可能會選擇將資料銷毁外包給第三方廠商處理。

      
(2)委外服務難驗證。外包商是否真的將每一個儲存媒體確實的實體銷毁,我們其實不得而知,無法做事後的確認。

     
(3)覆寫軟體的設定。採用軟體覆寫的方式,一般企業可以自行採購專門的軟體或是取得免費的軟體來進行資料銷毁,但若是使用者對軟體使用不熟悉或是只是利用軟體所附的內定設定值來進行資料覆寫程序,可能會對資料覆寫銷毁不完全,因為使用者有時候會假設資料覆寫軟體的內定設定值就已經是設定成理想的資料覆寫程序,但事實上有些資料覆寫軟體的內定設定值只是將資料刪除並無進行任何資料覆寫的程序。

     
(4)硬碟容量大、覆寫太費時。現今主流的硬碟容量都非常大,一般的電腦都有300GB~500GB的硬碟空間,而一顆300GB的硬碟要花約7~8個小時去覆寫,但若是要對50顆300GB 的硬碟覆寫時,就算同一時間對5顆硬碟進行覆寫,至少也要三天不間斷的進行覆寫,所花費的時間人力似乎不太符合經濟成本效益。


所以企業若要確實的保護公司及個人的機密資料,最理想的資料銷毁方式應該是企業首先要制定出資料銷毁政策,並且制定出符合企業內部運作的儲存媒體銷毁程序及所需要達到的資料銷毁等級,接著再評估最符合自己企業的資料銷毁方案,並定期稽核其所執行的成效。



轉自
資安人

 

ISO17025 - 實驗室認證



ISO17025標準是由國際標準化組織ISO/CASCO(國際標準化組織/合格評定委員會)制定的實驗室管理標準,該標準的前身是ISO/IEC導則 25:1990《校準和檢測實驗室能力的要求》。國際上對實驗室認可進行管理的組織是「國際實驗室認可合作組織(ILAC)」。

ISO17025標準主要包括:定義、組織和管理、質量體系、審核和評審、人員、設施和環境、設備和標準物質、量值溯源和校準、校準和檢測方法、樣品管理、 記錄、證書和報告、校準或檢測的分包、外部協助和供給、投訴等內容。該標準中核心內容為設備和標準物質、量值溯源和校準、校準和檢測方法、樣品管理,這些 內容重點是評價實驗室校準或檢測能力是否達到預期要求。

CCE(Certified Computer Examiner) - 電腦鑑識調查專家

受惠於網路無遠弗界的便利性,企業e化也愈來愈受到重視與普及。根據統計,企業內的資料有85%是以電子化的方式進行存放,這其中,新產生的資料更有高達93%是電子化的,而且約有75%的資料從來未曾以紙張的形式印出來過。

這意謂著一件事實,隨著人們與企業愈來愈依賴電腦科技,當所有的資料都存放在電腦中時,資訊安全的重要性與日俱增,尤其是因資料外洩而帶來的企業損失更為可觀。

日前,McAfee引述普渡大學所進行一項由資訊保險暨安全教育研究中心的研究員檢驗CIO問卷結果指出,去年全球因為資料外洩就造成了高達1兆美元的企 業損失。這項分析是由來自美、英、德、日、中、印、巴西及杜拜等等國家的800位CIO的受訪結果,在受訪的企業中,去年總計有高達46億美元的IP價值 損失,並花費約6億美元來補救相關的資料外洩問題。

需要特別提出的是,有39%受訪者認為,在現有經濟景氣下重要資料也比過去更容易外洩,換言之,企業需要上緊發條來面對日新月異的網路犯罪手段。然而,因 內部人員疏忽或惡意而導致的意外事件,也不容忽視,前不久香港消防處才發生了內部文件外洩事件,部分消防員的個人資料和考核報告,都可以在網上下載。 

雖然消防處已經針對此一事件明定了作業流程,往後內部人員若要將限閱或機密文件帶離辦公室處理,就必須向上級申請及做出相應的保密措施,卻也只能亡羊補牢,顯示出內部資料外洩的重要性。
 
電腦鑑識新興市場  
資料外洩、金融舞弊事件層出不窮,防範資安犯罪當然不能再墨守成規,企業事先建置資安防護的相關解決方案來進行預防,事後找出問題的癥結點,將原兇繩之以法,才能收到嚇阻不法行為的功效。 

不過,就蒐證的技巧而言,隨著資訊的發展也有了不同於傳統以實體證據例如指紋或彈道為主的鑑識手法-數位鑑識。這是利用科學驗證的方式來加以蒐集、分析、 調查數位證據,並且提供數據還原,例如在各種儲存媒體與網路傳輸下被刪除或移走的資料將其還原,進而提供給法院採信的一種工具。 

而電腦鑑識則被定義為以周延的方法及程序保存、保存、萃取、記載及解讀電腦媒體證據與分析其成因的科學。數位鑑識技術的發展已經十多年,在國外的運用已經 相當成熟,甚至也有相關的法規支持,例如美國和歐洲分別施行Sarbannes-Oxley和Basel II法案後,以數位鑑識作為風險管理的公司便愈來愈多。而在新加坡、香港等地電腦鑑識的需求也蓬勃發展,不過台灣仍屬於啟蒙階段。 

晨宇資訊總經理黃蕙菁指出,在台灣遇到網路犯罪問題,最好的途徑是報請刑事警察局偵九隊或是各縣市電腦犯罪專責組偵查,然而許多企業在遇到問題時,都通常 都不願意主動報案,原因之一是不想讓事件曝光,一旦讓警方涉入不但會變成人人關注的大新聞,無形中對企業形象造成毀損,而且司法程序也可能拖上好長一段時間。 

「但是,這對資安防範是沒有助益的。企業若是考量到名譽問題,不妨可以仿效國外,多數的企業傾向自行設立鑑識團隊來追蹤或抓出商業間諜、大型的犯罪組織、 詐欺與散發垃圾郵件的歹徒,或是找尋風險管理公司尋求協助,儘管這會為企業成本帶來負擔,但比起名譽損失或鉅額的賠償金,這些投資仍然較為划算。」 

CCE專業認證  
黃蕙菁表示,這就是晨宇資訊為什麼想要引進電腦鑑識調查專家(Certified Computer Examiner,CCE)的主要原因,企業需要更全面性的防範資安,設立獨立運作的鑑識團隊。



而對IT人員而言,電腦鑑識調查也是另一項轉職的出路,因為鑑識調查需要對IT具有一定程度的瞭解,而且還需要有調查與分析的能力,以及需有足夠的法律知識、專業與權威性,這通常需要有足夠的經驗才能做得到,IT人員至少就具備了第一項基本條件。 

CCE認證是由國際電腦鑑識調查協會(The International Society of Forensic Computer Examiners,ISFCE)所主導的專業認證,目前已有超過千位以上的電腦鑑識調查專家取得CCE認證,而且ISECE已在2008年4月成為美國 刑事鑑識實驗室主管協會(ASCLD/LAB)之數位鑑識實驗室的合作夥伴。 

在台灣,經濟部標準檢驗局所督導之財團法人全國認證基金會早在民國94年,便與美國刑事鑑識實驗室主管協會簽署合作協議備忘錄,希望藉由相互合作發展與共 同評鑑的方式,加強國內鑑識科學實驗室技術發展的專業性與國際性,延伸評鑑後的認證效益,使得彼此雙方實驗室於未來如經共同評鑑後可以獲得相互的認可。換 言之,美國刑事鑑識實驗室主管協會已經受到了國內標檢局的認可,是相當具有公信力的獨立單位。 

這門課程的內容從道德規範、鑑識人員基本常識到法律的隱私問題以及如何讓取得或保存的資料過程具有法律上的效益,並且能夠精準的針對問題來進行事後的分析 都含括在內。CCE在人員資格需求上相當特別,除了要具有基本的資訊安全概念及系統管理、網路管理等基本能力之外,還要求要身家清白,沒有刑事犯罪紀錄, 並且能夠遵守道德規範。 

「這就好像是警察或法官的角色永遠都必須保持立場中立、不偏頗的道理是一樣的,不然就會遭人質疑公正性。」黃蕙菁說。

二階段考試  
取得電腦鑑識調查專家需要通過幾項關卡,首先須上滿五天的課程,在最後一天的課程結束後,立即會舉行一場線上的測試,總共是75題複選題,答題時間是45 分鐘,需要答對80%才算及格。通過了之後,國際電腦鑑識調查協會有實作測驗,受試者需在90天內完成全部測驗。換言之,從課程開始至取得認證約莫至少需 要4個月的時間。

黃蕙菁指出,CCE的課程內容需要用到幾項工具,例如SMART、Simple Carver、Passware Kit以及Forensic Tool Kit(Demo version),市價約2,500美金,而這些工具晨宇已經事先取得授權,完全無須額外再支付費用。目前一般學員的費用是120,000元,在政府單位 或警調單位服務的人員則有折扣優惠為98,000元。 

根據瞭解,目前在國外具有電腦鑑識調查專家資格的人員,年薪約在400萬左右,台灣行情雖然還不及國外,但在經濟不景氣以及工作職缺釋出減少下,或許也是另一項投資自己或是轉職的方向。 

但黃蕙菁也提醒企業,若是想直接讓IT人員負責電腦鑑識採證,藉以節省人事成本是行不通的作法,雖然所有的鑑識數據都能在電腦中被找到,但是沒有照著一定的條件、流程或作法採集來的資料,甚至不具有採信上的效益,而這樣的採證也就失去了意義。 

專業不能取代  
「在國外的報導中,企業最常犯的錯誤之一就是讓沒有經過專業鑑識的內部IT人員直接委派進行數位鑑識調查。有個案例可以清楚的說明這種作法並不妥當。假設 某企業懷擬某台電腦上的資料存有證據,而且對於現在面臨的案件相當重要,因此這家企業的法務人員要求IT人員去列印、下載或儲存這些資料在可攜式媒體上, 而且IT人員也照著要求執行了,看起來這些過程都很妥當,而且資料也被收集回來了,成本也保持在最低的限度,但是卻是很糟糕的決策。」 

黃蕙菁引述專家觀點指出問題的徵結,首先這些檔案內容只是資料而不是證據,除非IT人員有經過電腦鑑識的認證,並且接受過證據保存程序、採集的訓練,否則他們並不懂得圍起「封鎖線」,保留現場的完整性。 

而且就算正確的證據採集技術被使用,但是在採集的當下很有可能就改變了資料的樣貌,例如在列印或存檔時,Meta data無可避免地會被改變,但Meta data在鑑識上卻是很重要的線索,換言之,證據是受到破壞了。最後,重新打開電腦也會改變電腦內的快取記憶體或暫存檔,這又會進一步破壞或損掉電腦上留 存的證據。 

雖然,一個優秀的電腦鑑識人員是能夠讓被損壞的證據再還原回來的,但這要花上數位的時間與成本,這比起由專業人員來做為首次的資料保存的成本要高出許多, 而且也不是每一項證據都能保證可以還原,最重要的一點是,讓IT人員來採集證據而不請鑑識人員來處理,其實是違反專業倫理,理想的作法是尋找經過認證的外 部人員來進行電腦採集。 

結語  
做好資安防護工作是現今所有企業都須積極面對的問題,國際電腦鑑識調查協會以第三方獨立機構的立場,設計出電腦鑑識調查專家課程,目的就是教導有心朝向此 領域發展的人員,如何善用工具,找出具有法律效益的證據,協助企業有效防範。這類的證照在台灣才剛推出不久,有心朝向此領域的IT人員不妨也可以多加參酌研究。


轉自 網管人

電腦鑑識相關證書


CCCI -- Certified Computer Crime Investigator (Basic)
The CCCI is one of two computer forensic certifications aimed at law enforcement and private IT professionals seeking to specialize in the investigative side of the field. Basic requirements include two years of experience (or a college degree, plus one year of experience), 18 months of investigative experience, 40 hours of computer crimes training and documented experience from at least 10 investigated cases.
Source: High Tech Crime Network certifications

CCCI -- Certified Computer Crime Investigator (Advanced)
The CCCI is one of two computer forensic certifications aimed at law enforcement and private IT professionals seeking to specialize in the investigative side of the field. Advanced requirements include bump experience to three years (or a college degree, plus two years of experience), four years of investigations, 80 hours of training and involvement as a lead investigator in 20 cases, with involvement in over 60 cases overall.
Source: High Tech Crime Network certifications

CCFT -- Certified Computer Forensic Technician (Basic)
The CCFT is one of two computer forensic certifications aimed at law enforcement and private IT professionals seeking to specialize in the investigative side of the field. Basic requirements include three years of experience (or a college degree, plus one year of experience), 18 months of forensics experience, 40 hours of computer forensics training and documented experience from at least 10 investigated cases.
Source: High Tech Crime Network certifications

CCFT -- Certified Computer Forensic Technician (Advanced)
The CCFT is one of two computer forensic certifications aimed at law enforcement and private IT professionals seeking to specialize in the investigative side of the field. Advanced requirements include three years of experience (or a college degree, plus two years of experience), four years of investigations, 80 hours of training and involvement as a lead investigator in 20 cases with involvement in over 60 cases overall.
Source: High Tech Crime Network certifications

CIFI -- Computer Information Forensics Investigator
The CIFI identifies senior management personnel, law enforcement officer, IT professionals, lawyers and others, who capable of finding and detecting weaknesses and vulnerabilities in computer systems and networks by using specific tools and related knowledge. It is also provide related personnel in searching the source of criminal documents and digital materials to effectively collect, handle, process and preserve computer forensics evidence. To obtain CIFI certification, a candidate needs to successfully complete one exam.
Source: International ICT Council

CEECS -- Certified Electronic Evidence Collection Specialist Certification
The CEECS identifies individuals who successfully complete the CEECS certification course. No prerequisites are required to attend the course, which covers the basics of evidence collection in addition to highly technical terminology, theories and techniques.
Source: International Association of Computer Investigative Specialists

CFCE -- Certified Forensic Computer Examiner
The International Association of Computer Investigative Specialists (IACIS) offers this credential to law enforcement and private industry personnel alike. Candidates must have broad knowledge, training or experience in computer forensics, including forensic procedures and standards, as well as ethical, legal and privacy issues. Certification includes both hands-on performance-based testing as well as a written exam.
Source: International Association of Computer Investigative Specialists

CERI-CFE -- Computer Forensic Examination
The CERI-CFE seeks to identify law enforcement officials with basic computer crime investigation experience and training. Requirements include two years of computer investigation/debugging, one year of Microsoft platform analysis, six months of non-Microsoft platform analysis, 40 hours of approved training, a written exam and successful completion of hands-on exercises.
Source: Cyber Enforcement Resources Inc.

CERI-ACFE -- Advanced Computer Forensic Examination
The CERI-ACFE seeks to identify law enforcement officials with advanced computer crime investigation experience and training. Requirements include two years of computer investigation/debugging, four years of Microsoft platform analysis, two years of non-Microsoft platform analysis, 80 hours of approved training, a written exam and successful completion of hands-on exercises.
Source: Cyber Enforcement Resources Inc.

CCE -- Certified Computer Examiner
The CCE, offered by the Southeast Cybercrime Institute at Kennesaw State University in partnership with Key Computer Service, seeks to identify individuals with no criminal record who have appropriate computer forensics training or experience, including evidence gathering, handling and storage. In addition, candidates must pass an online examination and successfully perform a hands-on examination on three test media.
Source: Key Computer Service

CSFA -- CyberSecurity Forensic Analyst
The CSFA aims to identify individuals who are interested in information technology security issues, especially at the hardware level. Prerequisites include at least one certification in computer and software support, networking or security (such as CompTIA's A+, Microsoft's MCSA or MCSE, or Cisco's CCNA), successful completion of an introductory and an advanced computer forensics course offered through the CyberSecurity Institute and no criminal record.
Source: CyberSecurity Institute

GCFA -- GIAC Certified Forensics Analyst
This cert program seeks to identify individuals who can demonstrate knowledge of and the ability to manage and protect important information systems and networks. The SANS organization is well known for its timely, focused, and useful security information and certification program. A shining star on this landscape, the GIAC program aims at serious, full-time security professionals responsible for designing, implementing and maintaining a state-of-the-art security infrastructure that may include incident handling and emergency response team management.
Source: Global Information Assurance Certification

CHFI -- Computer Hacking Forensic Investigator
The CHFI is geared toward personnel in law enforcement, defense, military, information technology, law, banking and insurance, among others. To obtain CHFI certification, a candidate needs to successfully complete one exam.
Source: EC-Council

PCI -- Professional Certified Investigator
This is a high-level certification from the American Society for Industrial Security (ASIS is also home to the CPP and PSP certifications) for those who specialize in investigating potential cybercrimes. Thus, in addition to technical skills, this certification concentrates on testing individuals' knowledge of legal and evidentiary matters required to present investigations in a court of law, including case management, evidence collection and case presentation. This cert requires five years of investigation experience, with at least two years in case management (a bachelor's degree or higher counts for up to two years of such experience) and a clean legal record for candidates.
Source: ASIS International

CCSA -- Certification in Control Self-Assessment
The CCSA demonstrates knowledge of internal control self-assessment procedures, primarily aimed at financial and records controls. This cert is of primary interest to those professionals who must evaluate IT infrastructures for possible threats to financial integrity, legal requirements for confidentiality and regulatory requirements for privacy.
Source: Institute of Internal Auditors

CIA -- Certified Internal Auditor
The CIA cert demonstrates knowledge of professional financial auditing practices. The cert is of primary interest to financial professionals responsible for auditing IT practices and procedures, as well as standard accounting practices and procedures to insure the integrity and correctness of financial records, transaction logs and other records relevant to commercial activities.
Source: Institute of Internal Auditors

CFE -- Certified Fraud Examiner
The CFE demonstrates ability to detect financial fraud and other white-collar crimes. This cert is of primary interest to full-time security professionals in law, law enforcement or those who work in organization with legal mandates to audit for possible fraudulent or illegal transactions and activities (such as banking, securities trading or classified operations).
Source: Association of Certified Fraud Examiners

CISA -- Certified Information Systems Auditor
The CISA demonstrates knowledge of IS auditing for control and security purposes. This cert is of primary interest to IT security professionals responsible for auditing IT systems, practices and procedures to make sure organizational security policies meet governmental and regulatory requirements, conform to best security practices and principles, and meet or exceed requirements stated in an organization's security policy.
Source: Information Systems Audit and Control Association

EnCE -- EnCase Certified Examiner
The EnCase® Certified Examiner (EnCE®) program certifies both public and private sector professionals in the use of Guidance Software's EnCase computer forensic software. EnCE® certification acknowledges that professionals have mastered computer investigation methodology as well as the use of EnCase during complex computer examinations. Recognized by both the law enforcement and corporate communities as a symbol of in-depth computer forensics knowledge, EnCE® certification illustrates that an investigator is a skilled computer examiner.
Source: guidancesoftware

ACE -- AccessData Certified Examiner
AccessData certifications are obtained by completing a multiple choice exam which consists of Knowledge Based and Practical Based elements. Although there are no prerequisites, certification candidates will benefit from taking AccessData courses specifically designed to give you a firm foundation in the technology of your choice.
Source: AccessData




Making Filename Attribute Timeline

Honestly, Timeline function of EnCase is impractical. So when I wanna make a timeline, I always use Timeline Report EnScript written by Geoff Black. This EnScript is very nice! I modified it to add NTFS Filename (FN) Attribute timestamps to timeline. Checking FN Attribute timestamps prevents malwares from concealing from timeline analysis by changing Standard Information (SI) Attribute timestamps like Metasploit Timestomp.

download Timeline_Report_v1.8.1_CCI.zip
If you wanna enable the extended function, check "Check FNA Timestamps?" box.


Dialog
The EnScript outputs FNA timestamps only when output format is HTML because I don't use other ouput options ;-)



Ws000010


You can differentiate Filename Attribute timestamps in the timeline from "Full Path" and cell color.  "Full Path" includes "[FN]" string and cell color is green if the entry is FNA timestamps.
I recommend narrowing down target files since it takes a certain amount of time.


轉自 CCI

一窺中國快速發展中的地下線上遊戲經濟- XWM Trojan木馬工具組剖析

截至200912月,約有265百萬,或全中國境內68.9%的網際網路使用者,曾玩過線上遊戲。中國共計有750個線上遊戲供應商,總收益約達250億人民幣。

引言

線上遊戲在中國非常熱門。事實上,截至2009年12月為止,約有265百萬,或全中國境內68.9%的網際網路使用者,曾玩過線上遊戲。同一時期中國共計有750個線上遊戲供應商,總收益約達250億人民幣

線上遊戲玩家不只在遊戲上花許多時間,同時也花了高額的金錢。為了提升線上遊戲體驗,玩家投入金錢購買虛擬資產如黃金,手工藝品;以及如能量升級(power leveling),黃金農場(gold farming),及其它在數個線上交易平台以實體貨幣交易(real money trading,簡稱RMT)等類的服務。多數的線上交易平台皆為公開的市場,任何人皆可使用簡易的付款機制來買賣虛擬資產或服務。種種因素皆促使RMT實體貨幣交易市場逐漸擴大,虛擬資產收益總額在2009年約達人民幣340億元

網路犯罪份子當然不會放過如此龐大的商機,因此製作出Trojan木馬工具組來偷盜玩家帳戶憑證,並販賣受害玩家所累積的虛擬資產。網路犯罪份子因此更能輕易地取得金錢,也使得線上遊戲Trojan木馬成為中國一大安全威脅。

線上遊戲Trojan木馬的繁衍改變了地下經濟。地下經濟出現了新角色,如將Trojan木馬,以及虛擬資產竊盜者及買家。

本研究報告將介紹一款熱門的線上遊戲Trojan木馬工具組,名為響尾馬(Xiang Wei Ma,簡稱XWM的工具組,即響尾木馬之意,其主要的攻擊目標為中國的熱門線上遊戲。

XWM工具組概論
 
XWM工具組包括21個附有後台伺服元件的Trojan木馬產生器,每一個皆針對一款中國熱門的線上遊戲。多數的目標對象皆是中國當地的線上遊戲。
圖1、XWM工具組Trojan木馬產生器

XWM工具組的目標特別是下列的中國線上遊戲:
 
 

後台伺服器是一個接收Trojan木馬傳送所竊得資料的網站。網路犯罪份子利用這個被他們稱之為信箱的網站儲存偷盜得來的資料。
圖2、 XWM工具組後台伺服元件

後台伺服器是一個接收Trojan木馬傳送所竊得資料的網站。


木馬產生器
XWM工具組中的Trojan木馬產生器需要先行設定才能用以產生新的Trojan木馬。使用者需要將後台伺服器的URL輸入到工具組的功能設定模組中,才能接受所製作出來的Trojans木馬所偷盜得的資料。
圖3、XWM工具組功能設定視窗

設定模組同時備有壓縮選項,使用者可選擇是否壓縮所製作的Trojans木馬。XWM工具組使用一個叫做Upack的封裝器來壓縮惡意使用者所製作的Trojans木馬。
圖4、使用Upack來壓縮使用XWM工具組製作的Trojans木馬

在按下製作(Generate)鍵後,XWM工具就會產生新的.EXE檔Trojan木馬。
XWM TROJANS木馬及元件
當執行XWM Trojan木馬時,會將下列檔案投擲入受感染的系統中:
  %system32%\{4個隨機字母}.dll
  %system32%\{4個隨機字母}.cfg
  %system32%\drivers\msacpe.sys
XWM Trojan木馬的惡意程序其實相當簡單。首先會產生一個 .DLL和一個 .CFG檔到被感染的系統中,這兩個程式皆使用4個隨機字母做為名稱。接著將 .DLL檔案載入系統記憶體中。這個檔案程式具有下列主要功能:
         終止安全軟體運作。會終止和一個中國安全軟體供應商360相關的數個運作。
產生一個啟動程式並製作與其相關的服務。產生一個名叫msacpe.sys的啟動程式,接著製作出名為mseqsv的服務,並利用前者做為圖片檔。其作用在做為此惡意軟體的網路嗅探器,可從被感染的系統偷盜資料。
偷盜線上遊戲資料。為達此目的,程式會搜尋線上遊戲設定檔案如config.ini,info.ini及其它含有以下資料的檔案:
   使用者名稱
   線上遊戲伺服器名稱
   線上遊戲伺服器所在區域
程式接著搜尋與線上遊戲相關的流程,並讀取其記憶空間,以便竊取以下資料:
         遊戲角色
         遊戲層級
        虛擬貨幣金額
當msacpe.sys找到與目標線上遊戲相關的流程時,便會將程式碼注入程序中,並從程序中取得如密碼等的資料。

將竊得的資料傳送給後台伺服器。程式同時也會將到手的資料傳送到網路犯罪份子所持有的後台伺服器。程式使用以下字串做為URL的參數:
?a=%s&s=%s&u=%s&p=%s&r=%s[%s]&l=%d&m=%d&pin=%s

上述的參數有8種變化如下:
a = 線上遊戲伺服器所在區域
s = 伺服器名稱
u = 使用者名稱
p = 密碼
r = 角色
l = 層級
m = 虛擬貨幣
pin = 個人辨識碼(personal identification number,簡稱PIN)

Trojan木馬會使用所說的參數將偷來的資料回傳給後台伺服器。msacpe.sys檔案會協助 .DLL檔案偷盜資料。.CFG檔因此只包含加密的後台伺服器URL,在設定Trojan木馬產生器時加入。

後台伺服器接受Trojan木馬竊得的資料。伺服器是一個使用了動態伺服器網頁(Active Server Pages,簡稱ASP技術的網站。為了測試這個惡意軟體,我們設了一個使用了網際網路資訊服務(Internet Information Services,簡稱IIS的網站。如圖所示,後台伺服器需要使用者名稱和密碼以便登入。

圖5、後台伺服器登入頁面

後台伺服器備有4個主要功能:
*      檢查偷盜得的資料
*      管理群組使用者
*      管理一般使用者
*      複審伺服器訪客紀錄

圖6、後台伺服器4個主要功能

動態伺服器網頁(Active Server Pages,簡稱ASP)是Microsoft微軟第一個為機動產生網頁而提供的伺服端程式碼引擎。最初是透過NT 4.0選項套組做為網際網路資訊服務(Internet Information Services,簡稱IIS)的外掛程式來發佈,之後成為Windows 2000伺服器的免費元件之一。

 
群組使用者多數指的是網站的持有者。可增加或移除使用者帳戶,無論是網頁的typeXpower或normalXon。
圖7、群組使用者的管理頁面

相較之下,一般使用者則可看到被偷盜的除了密碼外的資料。一般使用者通常會被給予Trojan木馬分送器。
圖8、一般使用者的管理頁面

Trojan木馬分送者利用破壞弱點漏洞的方式入侵合法網站,並將Trojan木馬的下載URL注射入被入侵的網站中。他們也可與數個提供免費下載音樂,電影和軟體的小網站管理者達成協定。這些網站的管理者會將Trojan木馬下載URL注射到所管理的網站中,誘使用者點擊惡意的URL。Trojan木馬分送者會支付款項給網站管理者。Trojan木馬分送者則按所偷得的帳戶數量獲得金額,因此他們需要定期登入到訪客紀錄頁面去查看最新的偷盜得的帳戶資料數量。
圖9、訪客紀錄頁面

這套Trojan木馬工具組背後的網路犯罪集團製作了一個展示頁面,其中包括了利用該套工具取得的偷盜資料樣本,藉由XWM工具組的能力展示來說服客戶。
圖10、展示網頁中被竊得資料的樣本


多數被偷盜的資料皆在RMT實體貨幣交易平台販售,如5173.com和Taobao.com
圖11、在5173.com上販售的被竊虛擬資產樣本


更多關於XWM的內容
無庸置疑地,製作出XWM工具組的網路犯罪集團主要目的就是獲取利益。他們將工具組賣給其他的網路犯罪份子,其證據就是在展開XWM工具組後出現的註冊視窗。使用者如果想要使用Trojan木馬產生器就需要購買並輸入註冊碼。
圖12、XWM工具組註冊視窗

XWM工具組的製作罪犯也在特定的網站中廣告該套工具組。在該則廣告中,一個Trojan木馬產生器可以人民幣2千3百元購得。每一式Trojan木馬執行檔價格則是在人民幣2百50元。購買Trojan木馬產生器或至少一個Trojan木馬的使用者,同時也可獲得6個月免費的防偵測服務,以及後台伺服器的寄存服務。不過使用者也可使用自己的後台伺服器寄存。
圖13、XWM工具組廣告


結論
本研究報告所介紹的,是一款熱門的線上遊戲Trojan木馬工具組,名稱是XWM工具組。XWM工具組有兩個主要元件,一個是Trojan木馬產生器,另一則是後台伺服器。
XWM工具組極為容易設定。要製作一個Trojan木馬時,網路犯罪份子只需要將後台伺服器的URL 輸入到Trojan木馬產生器的設定區內即可。被製作並分送到使用者系統的Trojan木馬便可開始偷盜資料,並按網路犯罪份子所指定的URL傳送到後台伺服器中。

而所附的後台伺服器使用也非常容易,因其會將到手的資料妥為組織整理,讓偷盜虛擬資產的工作可迅速執行。

XWM工具組的目標是中國境內21個熱門線上遊戲的數百萬名網際網路使用者。龐大的遊戲人口使此Trojan木馬工具組極有可能成為最受網路犯罪份子喜愛的攻擊路徑。


因此提醒使用者們,特別是熱情的線上遊戲玩家們,在回應無預期的下載要求時務必要特別小心。我們強烈建議不要下載看來可疑的檔案,也不要點擊不太可信的聯結。




 



DEFT Linux 6 ready for download

I’m happy to announce that DEFT 6 is out!


DEFT 6 is based on Lubuntu with Kernel 2.6.35 (Linux side) and DEFT Extra 3.0 (Windows side) with the best freeware Computer Forensic tools; it is a new concept of Computer Forensic live system, ewflib ready, that use WINE for run Windows Computer Forensics tools under Linux.


This is a list of changes made to the release candidate version:
[new] Update FTK Imager from 2.9 to 3
[new] Update Digital Forensic Framework from 0.8 to 0.9
[new] Added Xmount 0.4.4
[new] Added mount_ewf utility
[bug fix] VWrong Guymager release, now is the 0.5.7
[bug fix] Fixed iso md5 file check
[bug fix] Fixed some grammatical errors


For a full list please refer to this page. For some screenshot please refer to this page
Please submit new bug using launchpad or mailing bug “at” deftlinux.net.


As announced last month, even today we release the official documentation of the project. For now, it is only in Italian, it will be soon translated into English, Spanish and Chinese. Any other volunteer?

The project documentation is free and open to any useful integration therefore
if you want to help expanding the manual, you can contact me (Stefano Fratepietro) by e-mail: stefano “at” deftlinux.net.


During the next week, we will release the DEFT virtual appliance and dd image for the USB stick.

轉自DEFT

Everything search engine - 檔名搜尋工具

該工具是搜尋檔案目錄索引表如MFT、FAT,所以速度上非常的優異。

image


由於每次開啟 Everything Search Engine 時都會先替整台電腦的所有檔案建立索引以利日後快速搜尋的目的,所以第一次開啟時,會先對所有本機磁碟 (Local Volumn) 進行索引,如果像我檔案這麼多的話,第一次建立索引的時間可能會長一點,大約是 5 秒左右,夠久吧!^^

image

當索引建立完成後就可以開始搜尋檔案了 (注意:只能搜尋檔名與目錄名稱),假設我搜尋 hosts 關鍵字,在不到 100 豪秒(ms) 的時間內就能立即得到搜尋結果,事實上你會感覺打字打完結果就立即出現,非常的人性化,如下圖示:

image

其實不只是單純的字串比對而已,透過一些搜尋選項 (如下圖示) 設定還能使用 Regular Expression 語法進行搜尋,只是啟用 Regex 選項後搜尋速度會明顯變慢許多。除此之外你還能設定搜尋時是否比對大小寫、是否比對完整檔案、是否包含路徑等選項。

image

以上,只是基本功能,能夠解決你 80% 以上的搜尋困擾,但事實上 Everything Search Engine 能給你的還要多更多,透過選項設定與微調你將會發現更多人性化的設計在裡頭,有興趣的人請參考 Help 手冊:

image

image

講完人性化的設計後,要來講點恐怖的東西了,在這小小的 Everything Search Engine 軟體裡內建了一套 HTTP 伺服器 ( 網站伺服器 ) 與一套 ETP/FTP 伺服器 ( 註: ETP = Everything Transfer Protocol ),預設是不啟用的,如果你啟用了這兩個服務的話,透過遠端 HTTP 或 FTP 通訊協定就能搜尋/下載這台電腦裡的任何檔案 (如下圖是 HTTP 連線搜尋檔案的畫面),對資安來說是極大的威脅,各位千萬不要為了方便而鬆懈了對資安的態度。

image

不過如果啟用的話,對於搜尋遠端伺服器上的檔案來說還真是非常方便,就讓各位自行斟酌使用了:

image

當你關閉 Everything Search Engine 之後事實上主程式並不會關閉,而是在背景繼續執行,所以你隨時可以打開 Everything Search Engine 進行搜索,完全不會感覺到慢,而 Everything Search Engine 在背景執行時也會不斷監視本機電腦所有的檔案變更,並且即時的將異動的檔案建立索引,所以你隨時可以搜尋到本機最新且最正確的檔案:

image

如果重開機或將 Everything.exe 程序直接 Kill 掉的話,下次重開其實並不會對整台電腦的檔案重新掃瞄,而是會先讀入原先建立的索引資料後直接從 NTFS 檔案系統讀取最後一筆更新紀錄之後的檔案異動,所以開啟的速度還是非常快的。

image

為什麼 Everything Search Engine 能夠那麼快又那樣即時的搜索檔案呢?這是因為 Everything Search Engine 完全依賴 NTFS 檔案系統的 USN Journal 特性,透過這種方式可以用最少的資源達到對檔案系統異動的最佳監控,真的是非常聰明的抉擇!想對這技術有感覺建議可參考本文最後的相關連結

另外,Everything Search Engine 的搜尋介面也提供了許多語言檔,你只要下載語言包進行安裝就能支援中文了:

image

image

最後,在 Everything 1.2.1.371 這個版本對顯示時間的地方有個小 Bug 無法正確顯示修改日期欄位,不過並不影響使用中文搜尋檔案或顯示中文檔名,作者去年中就說下一版會解決這個問題,不過也經過了半年多都還沒有新版出現,各位可能還要等等了。

image

但臨時的解決方案還是有的,先開啟控制台的「變更日期、時間或數字格式」:

image

再依照下圖所示修改時間格式上午符號下午符號的格式到 AMPM 即可:

image

image

轉自 http://blog.miniasp.com/post/2011/01/08/Useful-tool-Everything-Search-Engine.aspx

RAW disk image to VHD

VHD tool

VhdTool.exe /create <FileName> <Size> [/quiet]
VhdTool.exe /convert <FileName> [/quiet]
VhdTool.exe /extend <FileName> <NewSize> [/quiet]
VhdTool.exe /repair <BaseVhdFileName> <FirstSnapshotAVhdFileName> [/quiet]

Create: Creates a new fixed format VHD of size <Size>.
WARNING - this function is admin only and bypasses
file system security. The resulting VHD file will
contain data which currently exists on the physical disk.

Convert: Converts an existing RAW disk image file to a fixed-format VHD.
The existing file length, rounded up, will contain block data
A VHD footer is appended to the current end of file.

Extend: Extends an existing fixed format VHD to a larger size <Size>.
WARNING - this function is admin only and bypasses
file system security. The resulting VHD file will
contain data which currently exists on the physical disk.

Repair: Repairs a broken Hyper-V snapshot chain where an administrator
has expanded the size of the root VHD. The base VHD will be
returned to its original size. THIS MAY CAUSE DATA LOSS if the
contents of the base VHD were changed after expansion.

download

USB Write-Blocker

USB Write blocker is an application that will use the windows registry to write block USB devices.  It is a useful tool for those who wish to view the contents of USB drives without making changes to the files metadata or timestamps. 

This is a critial feature in the fields of digital and computer forensics as well as electronic discovery (eDiscovery) where time stamps play a crucial role in the validity of evidence.

An added feature is the ability to see the application status in your task bar when you hover over its icon with your mouse (as seen in the screenshot below).


DSi Software - USB Write-Blocker Screenshot

*NEW*: The DSi USB Write-Blocker Utility status is now shown in the OS system tray. This Allows you to see the current status of the DSi USB Write-Blocker tool with a quick glance.
***IMPORTANT NOTE: USB devices you wish to write-block must be disconnected from the computer before the write block is enabled.
DSi USB Write-Blocker Utility – Compatible Operating Systems:
  • Windows XP (w/SP2 and Higher, 32bit & 64bit)
  • Windows Vista (32bit & 64bit)
  • Windows 7 (32bit & 64bit)

 Click here to download


轉自 http://document-solutions.biz/dsi-software/usb-write-blocker/

Converting a Physical Disk to a VMWare Virtual Disk

I have a Windows XP SP2 installation that I use for work, while my current personal OS of choice is Windows Vista. I only work weekends, so rebooting wasn’t too bothersome initially. Over time it has become more and more of a chore, as I can’t easily switch from one development environment to another without rebooting. I decided it was time to make my work installation a virtual machine.


I had some additional complications that made the process a little non-standard. I originally tried using VMWare’s converter tool, but it would fail at 97% of the creation of the disk. I then tried using a Windows port of the Unix utility ‘dd’ to create a raw image of the disk, but because the Windows volume manager was accessing the disk, dd would give me access errors. Additionally, the VMWare converter doesn’t support converting from a raw image (…grr…), so Qemu’s qemu-img tool would have to be used to convert the raw image to a disk in VMWare’s vmdk format.
The steps to reach our goal aren’t too complicated, and can be replicated by others easily. To do it, I used:

1.VMWare Workstation
2.A Linux installation or LiveCD (I used my existing Debian installation, but something  
   like Knoppix would work fine) 
3.Qemu
4.NTFS-3G (if you plan on writing out to an NTFS partition from Linux, as I did)


    I started by booting into my Linux install. Linux only mounts the disks it uses (hint hint, Microsoft) so we can access all sectors of the partition to make a dump of the disk with dd. I first had to mount the partition where I wanted the output file to reside, which uses NTFS:

    ntfs-3g /dev/sdb1 /mnt/external

    Next, create the image. I did this with the following (substitute your device/partition and output file):

    dd if=/dev/hdc3 of=/mnt/external/diskImage/XPSP2.img bs=1024

    When that finishes, the file specified with the ‘of’ option in dd will contain a block-by-block exact copy of your partition. However, it is in a raw format – we need it in a format VMWare can read. This is where Qemu comes in. Qemu is distributed with qemu-img, a tool used for creating, manipulating, and converting images. Specifically, our goal is to use qemu-img’s convert functionality to convert from a raw image format to the vmdk format. This is accomplished with:

    qemu-img convert -f raw /mnt/external/diskImage/XPSP2.img -O vmdk /mnt/external/diskImage/XPSP2.vmdk

    Be prepared to wait. For a 40gb image, this process took roughly 12 hours. Since qemu-img provides no status as to how far it has come, I kept tabs on it just by monitoring the filesize of the output image. This is entirely unnecessary, but if you want to do the same, just open a new terminal and type the following:

    while [1 -gt 0 ]; do du -hs /mnt/external/diskImage/XPSP2.vmdk; sleep 10; clear; done

    This will just print out the size of the file on your screen so you can watch it grow. Alternatively, Roberte provided a tip in the comments that suggested using the “watch” command. Either will work:

    watch ‘ls -lh /mnt/external/diskImage/XPSP.vmdk’

    When the process is completed, boot back into Windows (or if you are using Linux as the host, stay put) and create a virtual machine around your new disk image. Don’t forget to remove the original img created with dd, it is a huge waste of disk space :)

    [Notes]
    1. This process is really only feasible if you have a lot of disk space. At worst, the disk requirements are greater than 2*P, where P is the partition size of the virtual machine you wish to create. However, qemu-img only writes out actual data, not empty sectors, so your output image will be the size of the used space in the input image. For my conversion, I used over 40gb (input)+15gb (output) of disk space, which was reclaimed with the deletion of the output of dd, and resizing another partition to use the old physical installation’s space.
    2. qemu-img doesn’t support stream input, which is why we can’t pipe dd’s output directly into qemu-img convert. This would have reduced the disk requirements to only the size of the vmdk image, and sped up the process substantially. Bug the Qemu developers to implement this feature :)


    轉自 http://www.robertpeaslee.com/index.php/converting-a-physical-disk-to-a-virtual-disk-for-free/