Salut,

Bon, je veux émuler un Windows XP via qemu pour étudier le
comportement de malware. Pour le moment je tente d'installer le
windows XP sur une image disque. J'aimerai par la suite pouvoir monter
cette image disque pour voir les modification apportés par le malware
via mtree.

J'ai des problèmes pour créer l'image disque. Voilà ce que je fais :
#Création du fichier d'un peu plus de 3Go
dd if=/dev/zero of=win_XP.img bs=2048 count=1750000 progress=1
#Utilisation de vnconfig pour pouvoir ensuite utiliser disklabel
vnconfig vnd0 /home/sniper/Windows_XP/win_XP.img 512/64/125/875
#Utilisation de disklabel
disklabel -e -I vnd0
La j'adapte le fichier avec la géomètrie rentrée avec vnconfig, je met
le système de fichier à NTFS.

la commande disklabel me renvoie :
disklabel: Invalid signature in mbr record 0
# /dev/rvnd0d:
type: vnd
disk: vnd
label: fictitious
flags:
bytes/sector: 512
sectors/track: 64
tracks/cylinder: 125
sectors/cylinder: 8000
cylinders: 875
total sectors: 7000000
rpm: 3600
interleave: 1
trackskew: 0
cylinderskew: 0
headswitch: 0 # microseconds
track-to-track seek: 0 # microseconds
drivedata: 0

4 partitions:
# size offset fstype [fsize bsize cpg/sgs]
a: 7000000 0 NTFS # (Cyl. 0
- 874)
d: 7000000 0 unused 0 0 # (Cyl. 0
- 874)

J'imagine que le "disklabel: Invalid signature in mbr record 0" n'est
pas très bon signe ...
Le mount -t ntfs /dev/rvnd0d /mnt
me renvoie :
mount_ntfs: /dev/rvnd0d on /mnt: Block device required

Et lorsque je tente de lancer qemu en émulant l'insertion de la
disquette de boot de win XP avec le disque virtuel:

qemu -m 32 -fda boot_xp.img -hda win_XP.img -boot a

La disquette me répond que Windows ne peut pas démarrer à cause d'un
problème de "disk hardware". Il ne parvient pas à lire sur le disque
dur sélectionné.


Est ce que quelqu'un pourrait m'aiguiller sur comment régler ce
problème ?

dsl, j'ai oublié de préciser que je fais tout ça sous NetBSD.

Christophe Marchal a écrit :
> Salut,
>
> Bon, je veux émuler un Windows XP via qemu pour étudier le
> comportement de malware. Pour le moment je tente d'installer le
> windows XP sur une image disque. J'aimerai par la suite pouvoir monter
> cette image disque pour voir les modification apportés par le malware
> via mtree.
>
Il y a un offset a chopper pour monter le debut de la partition et non
le
debut du disque.

> J'ai des problèmes pour créer l'image disque. Voilà ce que je fais :
> #Création du fichier d'un peu plus de 3Go
> dd if=/dev/zero of=win_XP.img bs=2048 count=1750000 progress=1

ca c'est bon

> #Utilisation de vnconfig pour pouvoir ensuite utiliser disklabel
> vnconfig vnd0 /home/sniper/Windows_XP/win_XP.img 512/64/125/875

mais ca je ne ferais pas, comme tout ce qui suit. De plus, si tu veux
jouer
avec par la suite, je te conseillerai plutot d'utiliser le FAT32.

> Et lorsque je tente de lancer qemu en émulant l'insertion de la
> disquette de boot de win XP avec le disque virtuel:
>
> qemu -m 32 -fda boot_xp.img -hda win_XP.img -boot a
>
amha, le -m 32 risque aussi de poser probleme pour la suite. 256Mo me
paraissent mieux, mais c'est un sujet annexe.

> La disquette me répond que Windows ne peut pas démarrer à cause d'un
> problème de "disk hardware". Il ne parvient pas à lire sur le disque
> dur sélectionné.
>
> Est ce que quelqu'un pourrait m'aiguiller sur comment régler ce
> problème ?

cree un fichier rempli de zero. N'essaie pas de modifier ce fichier
depuis netBSD.
windows se debrouillera et va prendre tout le disque en une partition
pour lui.

Pour creer et modifier des partitions sous qemu, j'utilise la
tomsrtbt. C'est du linux, ca cree des partitions a la linux (pas de
slice, quoi), mais c'est tres rapide et ca marche.
qemu boot directement sur l'image en .raw:
qemu -m 8 -fda tomsrtbt.raw -hda win_XP.img -boot a
se loguer root, puis taper fdisk /dev/hda, et m pour l'aide du fdisk
linux.