MyData.pl
biuro@mydata.pl
gg: 35717270
Skype: mydata.pl
VMware jest pakietem służącym do wirtualizacji komputerów. Jest to potężne narzędzie dla programistów, ciekawy pakiet dla zwykłych użytkowników chcących obejrzeć sobie jakiś nietypowy system operacyjny jak również dla specjalistów od odzyskiwania danych. VMware można pobrać i za darmo przetestować, są również wersje całkowicie darmowe. Niżej pokażę, jak uruchomić oryginalną maszynę posiadając tylko binarny obraz jej dysku twardego (w tzw. formacie RAW).
Obraz dysku twardego można wykonać wieloma programami (np. dd, DMDE, R-Studio w wersji demo). Programy te tworzą plik binarny, zgrywając sektor po sektorze cały dysk. Gdy już mamy taki obraz, należy go jakoś załadować do VMware – jak się okazuje, VMware nie posiada takiej funkcji. Nic nie stoi na przeszkodzie, żeby trochę oszukać oprogramowanie 😉
Tworzymy nową wirtualną maszynę, jako system operacyjny gościa dwukrotnie wybieramy “Other”. Alokujemy na dysku obraz tej wirtualnej maszyny – zostanie utworzony nowy plik o stałym rozmiarze (VMware nie będzie powiększało obrazu wraz z zapotrzebowaniem na miejsce). Plik należy stworzyć jak najmniejszy – nie będzie nam potrzebny. Zakładam, że nowa wirtualna maszyna jest już stworzona. Kopiujemy obraz dysku, który chcemy uruchomić do katalogu utworzonej maszyny wirtualnej. Teraz pora na ręczne modyfikacje.
Otwieramy plik [nazwa_maszyny].vmdk w edytorze tekstu. W tym pliku konfiguracyjnym zostaną zapisane nowe parametry pliku z obrazem.
# Extent description
RW 40021632 FLAT “sectors.ima” 0
# The Disk Data Base
#DDB
ddb.toolsVersion = “0”
ddb.adapterType = “ide”
ddb.geometry.sectors = “63”
ddb.geometry.heads = “255”
ddb.geometry.cylinders = “2482”
ddb.virtualHWVersion = “6”
Pogrubione zostały elementy, które należy zmienić. Pierwszy element to ilość sektorów w obrazie. Drugi, to nazwa obrazu. Trzeci, czwarty i piąty element to geometria dysku (obrazu) odczytana z MBR. Odczytanie geometrii pozostawiam jako pracę domową 😉 Maszyna jest gotowa do uruchomienia.
Do czego to się może przydać w przypadku odzyskiwania danych? Można podejrzeć wygląd oryginalnego systemu operacyjnego przed uszkodzeniem dysku (o ile struktura logiczna dysku, a przynajmniej systemu operacyjnego, nie jest naruszona). Można uruchomić aplikacje, które są specyficzne dla systemu znajdującego się na odzyskiwanym dysku i sprawdzić, czy wszelkie ich bazy danych działają jak należy. Często zdarza się, że do odzyskiwania danych trafia dysk z oprogramowaniem napisanym pod daną firmę – w takich przypadkach przedstawiony sposób jest doskonały.
Poniżej dosyć stara wersja systemu NetWare, system plików NWFS. Można zobaczyć, co stałoby się po uruchomieniu oryginalnego dysku w serwerze z którego pochodzi – błędna naprawa tablic niszcząca do końca i tak już uszkodzony system plików.
PS: W powyższym przypadku obie tablice plików były uszkodzone. Bad sektory i narzędzie do naprawy systemu plików to nie jest dobre połączenie.