
Quando il digitale ci riporta indietro nel tempo, la sfida non è solo tecnica, ma anche metodologica.
Di recente ci siamo imbattuti in un caso interessante in ambito forense-industriale: virtualizzare un asset fisico legato a un ambiente ICS/SCADA, basato su un sistema operativo ormai considerato preistorico — Windows XP — ma ancora in uso in contesti critici.
Il contesto
Il sistema era stato acquisito nell’ambito di un’indagine tramite immagine forense in formato .E01, garantendo la catena di custodia e la fedeltà del contenuto. La richiesta era quella di trasformare questa immagine in una macchina virtuale avviabile, da utilizzare per ulteriori analisi in un ambiente controllato, sfruttando VMware come hypervisor.
Sebbene esistano diverse risorse su come convertire e avviare copie forensi in ambienti virtuali, nella pratica — specie con sistemi legacy — emergono numerose complessità.
La sfida tecnica
Le operazioni principali hanno seguito questo percorso:
- Conversione da .E01 a formato raw (.dd) utilizzando strumenti come FTK Imager o ewf-tools;
- Conversione in .vmdk tramite qemu-img per renderla compatibile con VMware;
- Configurazione della VM per emulare l’hardware originario, evitando conflitti.
Per avviare la procedura, abbiamo inizialmente esportato il contenuto dell’immagine EWF in formato disco “raw” (.dd) utilizzando gli ewftools di Tsurugi Linux. Questa operazione ha generato un file che è una copia bit-per-bit del disco originale, sprovvista di compressione o metadati specifici del formato EWF.
Successivamente, l’immagine RAW è stata convertita in formato VMDK (Virtual Machine Disk), lo standard nativo di VMware, per garantirne la compatibilità con le piattaforme di virtualizzazione. La conversione è stata effettuata tramite le utility qemu, software di virtualizzazione ampiamente impiegato su sistemi Linux.
Per ottimizzare la compatibilità, abbiamo configurato una nuova macchina virtuale selezionando la versione hardware meno recente supportata da VMware. In linea con questa scelta, il disco originale, convertito in formato virtuale, è stato collegato alla VM attraverso un controller SCSI, preferito alle interfacce NVMe o SATA, che non erano supportate da Windows XP e sistemi operativi precedenti. Questa configurazione mirava a minimizzare le potenziali incompatibilità hardware con i sistemi legacy e rispettare le configurazioni hardware della macchina originale.
Ma qui sono iniziati i veri problemi:
- Driver mancanti o incompatibili;
- Errori di avvio dovuti al cambio di hardware;
- Problemi di attivazione di Windows XP.
Il primo tentativo di avvio della macchina virtuale, configurata con l’immagine VMDK appena creata, ha dato esito negativo. Il sistema operativo, Windows XP, ha interrotto il caricamento mostrando un errore critico di tipo “Blue Screen of Death” (BSOD) con il codice di stop 0x0000007B (INACCESSIBLE_BOOT_DEVICE).

errore di sistema blue screen avvio Windows XP
La soluzione
Attraverso un mix di strumenti forensi e tecniche di reverse engineering di basso livello, siamo riusciti a:
- Adattare il registro di sistema offline;
- Installare driver compatibili in modalità provvisoria;
- Configurazioni hardware da adattare alla nuova VM
Per risolvere l’incompatibilità dei driver, è stata eseguita una modifica mirata e offline del registro di sistema di Windows XP. La procedura dettagliata è la seguente:
- Montaggio dell’Immagine: L’immagine VMDK è stata montata in un ambiente di analisi forense, consentendo l’accesso al suo file system come se fosse un disco locale.
- Estrazione dell’Hive di Registro: Il file “hive” del registro di sistema, situato nel percorso `C:\WINDOWS\system32\config\SYSTEM`, è stato estratto. È stata creata una copia di backup di questo file prima di procedere con qualsiasi modifica.
- Modifica con Editor Offline: Utilizzando un editor di registro offline, sono state aggiunte manualmente le chiavi e i valori necessari per pre-caricare i servizi del driver `vmscsi`, il driver standard utilizzato da VMware per i controller SCSI.
- Copia del File Driver: Il file `vmscsi.sys`, essenziale per consentire al sistema operativo di riconoscere il controller SCSI della macchina virtuale, è stato copiato nel percorso `C:\WINDOWS\system32\drivers`. Questo file può essere recuperato dalla ISO di installazione dei VMware Tools o, in alternativa, da un altro sistema Windows configurato con questa tipologia.
- Reintegrazione dell’Hive: L’hive SYSTEM modificato è stato salvato, sovrascrivendo quello presente sull’immagine montata.
Il risultato è stato una macchina virtuale pienamente operativa, utile non solo per l’analisi forense ma anche per il test sicuro di ambienti legacy, spesso ancora presenti in realtà industriali complesse.
Conclusione
Questo caso ci ricorda che il lavoro forense non è solo analisi post-evento, ma spesso un vero e proprio viaggio nel tempo digitale: riportare in vita sistemi dimenticati, capire come funzionavano e creare le condizioni per poterli studiare in sicurezza.
—
Filippo Maffei