Snapshot bei eingebundenen physikalischen Festplatten

[hoheidt]

Ich habe das folgende Problem:
Bis zur VM-Ware Version 4.x habe ich gesicherte EnCase-Images von Festplatten mit dem Programm MountImagePro als physikalische Festplatten in den Wirt-Rechner eingebunden. Diese lies sich dann ohne weiteres als physikalische Festplatte in einen neuen VM-Ware-Gast-PC einbinden. Da diese Images nicht veränderbar sind, ist die so eingebundene Festplatte automatisch schreibgeschützt und alle eventuellen Änderungen würden verloren gehen. Abhilfe gab es durch den Snapshot, der für diese physikalischen Festplatten REDO-Dateien anlegte, so dass alle Änderungen hierin verewigt wurden. Damit konnte man prima virtuelle PCs unserer "Kunden" ohne langes Restore der Images lauffähig wiederherstellen. So weit so gut.

Ab der Version 5.0 bietet VM-Ware bei eingebundenen (auch independent) physikalischen Festplatten kein Snapshot mehr an (d.h. die Taste "Take Snapshot" ist grau deaktiviert).

Wie kann ich meinem VM-Ware PC sagen, dass er alle Änderungen nicht in der physikalischen Festplatte, sondern in einer REDO-Datei speichert?

[continuum]

Hi
bei meinen Versuchen kann ich dein Problem nicht nachvollziehen.
Zeig doch mal eine vmx einer solchen Konstellation.

Ich mache mit WS5 auch solche Sachen wie diese:

einen beliebigen Rechner von BartPE aus booten - VMware5 starten und eine neue VM anlegen. Physikalische Platte als raw-disk im nonpersistent oder undoable mode einbinden.
Hostsystem als VM starten und schauen was es so macht
Ich aendere dabei nichts an der physikalischen Platte.

Wenn du Lust hast, schreib mir mal - ich wuerde gerne mal mit jemandem aus dem Forensik-bereich ueber meine WS5 oder WS 4.5 LiveCDS sprechen.

Ulli

[hoheidt]

Hallo Ulli,

"Zeig doch mal eine vmx einer solchen Konstellation."
Hier ist sie:

config.version = "8"
virtualHW.version = "4"
scsi0.present = "TRUE"
memsize = "256"
scsi0:0.present = "TRUE"
scsi0:0.fileName = "Windows 98.vmdk"
scsi0:0.mode = "independent-persistent"
scsi0:0.deviceType = "rawDisk"
ide1:0.present = "TRUE"
ide1:0.fileName = "auto detect"
ide1:0.deviceType = "cdrom-raw"
floppy0.present = "FALSE"
usb.present = "TRUE"
sound.present = "TRUE"
sound.virtualDev = "es1371"
displayName = "Windows 98"
guestOS = "win98"
nvram = "win98.nvram"

scsi0:0.redo = ""
uuid.location = "56 4d 38 92 5c fa 96 f6-19 b4 f2 49 77 f5 d6 8a"
uuid.bios = "56 4d 38 92 5c fa 96 f6-19 b4 f2 49 77 f5 d6 8a"


"Physikalische Platte als raw-disk im nonpersistent oder undoable mode einbinden."
Ich will ja gar nicht nonpersistent. Ich will independend und persistent. Denn: Die Änderungen sollen, bzw. müssen sogar gespeichert bleiben (z.B. Reparaturinstallationen bei Windows XP-Systemen). Die Änderungen dürfen nur nicht auf der Festplatte landen, wo sie nach dem Beenden der VM verloren wären, sondern müssen in den REDO-Dateien landen und bleiben.
Was passiert denn bei Dir mit den Änderungen?

Gruß
Holger

[hoheidt]

Zu dem Bereich:
"einen beliebigen Rechner von BartPE aus booten - VMware5 starten und eine neue VM anlegen. Physikalische Platte als raw-disk im nonpersistent oder undoable mode einbinden.Hostsystem als VM starten und schauen was es so macht. Ich aendere dabei nichts an der physikalischen Platte. "

Da stellen sich mir mehrere Fragen:

1.
Grundsatz in der Forensik ist, dass keine Daten verändert werden. Das schließt auch das Speichern von VM ein. Das bedeutet, die VM kann nicht auf der HD des Besch., sondern nur in der RAM-Disk von BartPE gespeichert werden. Das dürfte ein Problem des Arbeitsspeichers des jeweiligen Rechners sein. Wo speicherst Du da die VM?

2.
Windows XP-Systeme starten auf einer fremden Hardware (d.h. auch in einer VM) i.d.R. in einen Bluescreen wegen der Hardwaretreiber (Sitchwort Hal.dll u.s.w.) Ohne Reparaturinstallation mit anschließender Aktivierung bei MS (bzw. mit Volumenlizenzen ohne Aktivierung) geht auf einer fremden Hardware gar nichts. Wie löst Du das Problem?

Holger

[Martin]

"Physikalische Platte als raw-disk im nonpersistent oder undoable mode einbinden."
Ich will ja gar nicht nonpersistent. Ich will independend und persistent. Denn: Die Änderungen sollen, bzw. müssen sogar gespeichert bleiben (z.B. Reparaturinstallationen bei Windows XP-Systemen). Die Änderungen dürfen nur nicht auf der Festplatte landen, wo sie nach dem Beenden der VM verloren wären, sondern müssen in den REDO-Dateien landen und bleiben.

Dafür sollte aber doch der undoable mode auch verwendbar sein? Dabei werden ja auch alle Änderungen erstmal in die REDOs geschrieben.

Martin

[hoheidt]

Wie komme ich denn in den "undoable mode"?

Bei einer neuen physikalischen Festplatte sind nur die Einstellungen independent oder nicht und wenn ja, dann persistent oder nonpersistent.

Holger

[continuum]

Hallo Holger

du hast recht, die snapshots verhalten sich wirklich anders als in den vorherigen Versionen.
Trotzdem kann man sie aber auch fuer eine einzelne raw-disk aktivieren.

ide0:0.present = "TRUE"
ide0:0.fileName = "physical-disk.vmdk"
ide0:0.deviceType = "rawDisk"
snapshot.action = "autoCommit"

Starte mal eine VM und binde eine raw-disk mit obigen Parametern ein -
dann wird auch ein REDO-log geschrieben.

Ueber das GUI muss man unter Options - Snapshots - 'Take a new snapshot' einstellen.

1.
Grundsatz in der Forensik ist, dass keine Daten verändert werden. Das schließt auch das Speichern von VM ein. Das bedeutet, die VM kann nicht auf der HD des Besch., sondern nur in der RAM-Disk von BartPE gespeichert werden. Das dürfte ein Problem des Arbeitsspeichers des jeweiligen Rechners sein. Wo speicherst Du da die VM?

Bei einem Rechner mit viel RAM kann ich die VM im RAMdrive anlegen und habe dann einige hundet MBs die ich mit REDOs fuellen kann. Ich habe zum beispiel mal spasseshalber probiert, ein XP in eine vmdk zu installieren, die komplett im Ramdrive lag. Die Installation ging sehr schnell - brach aber nach ca 500MB wegen Ueberfuellung des RAMdrives ab. Wenn du ein System nur begutachten willst ist ein REDO-log das sagen wir mal bis 100MB anwachsen kann schon recht gross.Ausserdem kannst du bei Rechnern mit wenig RAM eine Traveldisk verwenden.

2.
Windows XP-Systeme starten auf einer fremden Hardware (d.h. auch in einer VM) i.d.R. in einen Bluescreen wegen der Hardwaretreiber (Sitchwort Hal.dll u.s.w.) Ohne Reparaturinstallation mit anschließender Aktivierung bei MS (bzw. mit Volumenlizenzen ohne Aktivierung) geht auf einer fremden Hardware gar nichts. Wie löst Du das Problem?

Ich kenne die Registry-einstellungen, die ein Windows in einer VM braucht recht gut - man kann sich ja auch recht einfach ein paar Registry-exports aller gaengigen Systeme auf der BartPE bereitlegen.
Bei IDE-mit ACPI reicht oft eine Variante des bekannten FIX_IDE-patches aus, fehlen Treiberdateien kann man die ohne weiteres an Ort und Stelle kopieren - wir arbeiten ja schliesslich in einem REDO-log.
Ansonsten habe ich zB ein Patch, dass IDE Systeme mit SCSI-treibern ausruesstet, sodass ich das System als SCSI-VM starten kann.
Selbst eine Reparaturinstallation ist denkbar - allerdings braucht man dann etwas mehr Platz als man im RAMdrive hat - aber das ist weiter kein Problem, denn ich kann die VM ja auch auf einer Traveldisk anlegen.

Rechner mit Intelboards lassen sich oft sogar ohne jedes Getrickse als VM starten - evtl, muessen sie ein paar mal neu starten bis sie alle Treiber gefunden haben - solange man diese Aenderungen in REDOs schreibt duerfte das an dem original installiertem System nichts aendern.

Das Thema finde ich ziemlich spannend - leider habe ich selber nur 2 Rechner an denen ich derartiges ausprobieren kann.

Ulli

[hoheidt]

ide0:0.present = "TRUE"
ide0:0.fileName = "physical-disk.vmdk"
ide0:0.deviceType = "rawDisk"
snapshot.action = "autoCommit"

Starte mal eine VM und binde eine raw-disk mit obigen Parametern ein -
dann wird auch ein REDO-log geschrieben.

Das hat nicht funktioniert. Es werden immer noch keine REDO-Dateien geschrieben und die Taste "take snapshot" ist weiterhin inaktiv. Wenn ich Deine Parameter so ansehe, dann ist die einzige Änderung zu meinen Einstellungen die Zeile "snapshot.action = "autoCommit"". Meine vmx sieht dann so aus:

config.version = "8"
virtualHW.version = "4"
scsi0.present = "TRUE"
memsize = "256"
scsi0:0.present = "TRUE"
scsi0:0.fileName = "Windows 98.vmdk"
scsi0:0.deviceType = "rawDisk"
snapshot.action = "autoCommit"
ide1:0.present = "TRUE"
ide1:0.fileName = "auto detect"
ide1:0.deviceType = "cdrom-raw"
floppy0.present = "FALSE"
usb.present = "TRUE"
sound.present = "TRUE"
sound.virtualDev = "es1371"
displayName = "Windows 98"
guestOS = "win98"
nvram = "win98.nvram"

workingDir = "."

scsi0:0.mode = "independent-persistent"

Mit dem Wert "snapshot.action" stellt man m.E. auch nur ein, was der Rechner beim Ausschalten machen soll. snapshot.action = "autoCommit" heisst dabei: "Take a new snapshot". Das bedeutet aber nach meinem Verständnis, dass er alle bisherigen Änderungen auf die Festplatte übernimmt und dann einen neuen Snapshot macht. Richtiger wäre m.E. "snapshot.action = "keep"", was bewirken würde, dass alle Änderungen in den REDO-Dateien erhalten bleiben, aber nicht auf die Festplatte geschrieben werden. - Wenn denn REDO-Dateien vorhanden wären.

By the way: Ich habe das gleiche Problem auch im VM-Ware forum unter http://www.vmware.com/community/index.jspa gestellt und bislang gar keine Reaktion erhalten. Das scheint mir kein sehr gutes Zeichen zu sein.

[hoheidt]

Ausserdem kannst du bei Rechnern mit wenig RAM eine Traveldisk verwenden.

Was ist denn eine "Traveldisk"?

Ich habe zum beispiel mal spasseshalber probiert, ein XP in eine vmdk zu installieren, die komplett im Ramdrive lag. Die Installation ging sehr schnell - brach aber nach ca 500MB wegen Ueberfuellung des RAMdrives ab.

Das hab ich mir gedacht. Und: 500 MB sind vergleichsweise viel für die PCs, die wir gegelmäßig vorfinden.

Ich kenne die Registry-einstellungen, die ein Windows in einer VM braucht recht gut - man kann sich ja auch recht einfach ein paar Registry-exports aller gaengigen Systeme auf der BartPE bereitlegen.
Bei IDE-mit ACPI reicht oft eine Variante des bekannten FIX_IDE-patches aus, fehlen Treiberdateien kann man die ohne weiteres an Ort und Stelle kopieren - wir arbeiten ja schliesslich in einem REDO-log.
Ansonsten habe ich zB ein Patch, dass IDE Systeme mit SCSI-treibern ausruesstet, sodass ich das System als SCSI-VM starten kann.

Das klingt nach viel Zeit und Aufwand. Da stellt sich mir die Frage nach dem Aufwand/Nutzen-Verhältnis. Vor Ort beim Besch. ist kaum Zeit zum Sichten, geschweige denn für große Einstellungen. Im Büro mit der Sicherung habe ich nicht mehr den Bedarf einer Start CD.