稼働中のシステムをなるべく触らずに調査したいので、稼働中システムを丸ごと仮想 OS 環境へと複製し、そっちをゴリゴリ調べましょう！というのが昨日の小ネタ。
稼働中システムのハードディスクをオンラインで複製（ddとかでコピー）し、それをVMwareの起動ドライブとして使用しちゃう。多少の差はあるものの、基本的に稼働中システムと同じ状態のテスト環境が構築できるし、壊しても怒られない（笑）
デッドコピーというか、複製したハードディスク（死んでる状態）を起こすので死者再生みたいなもんですが、厳密には揮発性情報とかは失われてしまってますのでゾンビか？
ただ、OS が稼働していないと調べられない情報や、ターゲット OS が稼働していないと使えないツール*1も使えるようになるのでゾンビでもそれなりに便利なわけです。ただ、復元できる確率的にはザオラル以下なのが今のところ難点。*2
今後、仮想OSツールや EnCase PDE なりのツールが進歩していくことで、起動できない点については徐々に解決され、今後はもっとやりやすくなるのではないかと考えてます。