Petyaと遊ぼう(4)

さて、いつぞやにpetyaを実行したVMのイメージは残っているだろうか？？（起動してもドクロがピカピカするやつ）
今回はVMイメージからpetyaが書き換えてしまったMBRの取り出しをやってみたい。

こんごのさぎょうのながれ

1. VMイメージをrawフォーマットに変換（vmdk統合必要な場合は先にやっとく）
2. ddでMBRを切り出し
3. bochsでドクロをpkpkさせる
4. MBRのコードを見てwktkする
5. 解散

まずは、、
仮想ディスクイメージである.vmdkからrawフォーマットに変換する。
https://eelsden.net/blog/q1lk2m/qfks6b

VMイメージのハードディスクサイズがデカめだと、rawに変換したときにクッッッッソ巨大になるので注意してくれ。
変換エラーできませんエラーが出たら疑ってみて。実験環境のハードディスク容量が十分にあるか。
数GBだとたぶん足りん。できたら数百GBはほすぃとこ。

またrawフォーマットに変換する前に、、
ファイル名が..-s00x.vmdkこんな感じになってるときは.vmdkをひとつに統合しておく必要がある。
Windows 7-000003-s007.vmdk
Windows 7-000003-s006.vmdk
Windows 7-000003-s005.vmdk
....

vmware-vdiskmanagerっていうのでできるんだが、vmware playerには入ってないのね。。
ので別途vmwareのサイトから取ってくる必要があります。
https://server-setting.info/blog/vmware-disk-file-marge.html


rawフォーマットに無事変換できただろうか？
ddコマンドで必要な部分だけ切り出そう。
http://www.atmarkit.co.jp/ait/articles/1711/30/news027.html

こんな感じで。

dd if=xx.raw of=petya.img bs=512k count=20

ddなんてコマンドねぇぞ！！？
ってこともあるかもしれん。cygwinを入れるかWindows用のddを取ってくるかlinux系OSを持ってくるかお任せします。
http://www2.kuma.u-tokai.ac.jp/~kfuji/cygwin/cygwin.htm

バイナリエディタで開くとこんな感じになってるかい？？
https://www.vector.co.jp/soft/win95/util/se079072.html

偽CHKDSKの部分も入ってるみたいだ！！

次回、bochsでドクロをpkpkさせる！！の巻。