이미지 파일을 가상머신으로 부팅하는 방법

포렌식을 하다보면 이미지 파일을 가상머신에서 직접 실행해봐야 되는 경우가 발생한다.

따라서 이미지 파일을 vmdk, vhdx 등 가상머신 확장자로 변환해줘야 한다.

1. 이미지 파일 가상머신 확장자로 변환

Qemu 이용

qemu-img convert -pO [원하는 파일형식] [이미지 파일 경로] [원하는 파일명과 경로.확장자]

 

예시

qemu-img convert -pO vmdk /mnt/c/Users/user/Desktop/Study/Ext4/Ext4_img_2.001 /mnt/c/Users/user/Desktop/Study/Ext4/Ext4.vmdk

 

VMware 는 vmdk 파일, Hyper-V는 vhdx 로 변환해주면 된다. (O 옵션이 Output format, p 옵션이 Progress 옵션이다.)

VirtualBox 이용

VirtualBox가 설치되어 있는 폴더에서 "VBoxManage.exe" 를 이용하면 된다.

VBoxManage.exe convertfromraw [이미지 파일 경로] [원하는 파일명과 경로.확장자] --format [원하는 파일형식]

예시

VBoxManage.exe convertfromraw C:\Users\user\Desktop\Study\Ext4\Ext4_img_2.001 C:\Users\user\Desktop\Study\Ext4\Ext4.vmdk --format vmdk

 

 

Hyper-V (vhdx) 파일로의 변환은 지원하지 않는 것 같다.

2. 가상머신 부팅

VMware

임의로 가상머신에서 머신을 생성해준다.

 

임의로 생성한 가상머신의 디렉토리로 이동한다.

 

존재하는 vmdk 파일을 삭제한 후 위에서 생성한 vmdk 파일로 변경해주면 부팅에 성공한다. (vmdk의 파일명은 기존과 동일하게 바꿔줘야 된다.)

Hyper-V

새 가상 컴퓨터를 만들 때 "기존 가상 하드 디스크 사용" 옵션을 통해 위에서 생성한 vhdx 파일을 지정해주면 된다.

 

윈도우는 잘 모르겠지만 우분투는 가상컴퓨터의 세대를 1세대로 지정해줘야 원활하게 실행됐다.

 

모든 과정을 마치면 부팅에 성공한다.