Convertir l'image vdmk en raw afin de pouvoir la monter comme disque sous Linux : vboxmanage clonehd forensic_seven.vdmk forensic.raw --format RAW Monter l'image sur son poste Linux mkdir /mnt/tp fdisk -l (voir les partitions du disque) mount -t nfts -o ro,offset=105906176 forensic.raw /mnt/tp (calcul de l'offset, informations récupérées par fdisk -l : taille d'un bloc * début des données de la partition à monter = 512 * 206848 = 105906176) Le système de fichiers de forensic.raw doit être maintenant monté sur /mnt/tp Extraire informations de la base de registre Outil utilisé : regripper (https://github.com/keydet89/RegRipper2.8) Version de l’OS perl rip.pl -r /mnt/tp/WINDOWS/system32/config/software -p product Afficher le navigateur utilisé par défaut perl rip.pl -r /mnt/tp/WINDOWS/system32/config/software -p defbrowser Extraire les informations de la SAM Perl rip.pl –r /mnt/tp/windows/system32/config/SAM –p samparse Déterminer si l’audit sécurité est activé Perl rip.pl –r /mnt/tp/: // –uninstall cmd