كثيرا ما أقابل السؤال: كيف نعلق صورة Encase (.e01) بالجهاز الظاهري كقرص أساسي قابل للتمهيد؟ في بعض الأحيان يحتاج خبراء الطب الشرعي الرقمي إلى رفع صورة جهاز البحث. هذا ليس بالأمر الصعب في الواقع ، لكن هذه المهمة تحتوي على أحجار مخفية يجب تحديدها.
في هذه الحالة ، سأستخدم VMware Workstation لنظام التشغيل Windows و VirtualBox لنظام التشغيل Linux كمنصات افتراضية.
جزء ويندوز1. افتح FTK Imager وقم بتركيب صورة .e01 كجهاز
فعلي (فقط) في وضع
قابل للكتابة
2. لاحظ اسم الجهاز الناتج. في هذه الحالة ، هو
PhysicalDrive33. افتح VMware Workstation وقم بإنشاء VM جديد ، لكن
لا تنشئ قرصًا ظاهريًا (أو أزل
قرصًا إن وجد). يجب عليك اختيار
استخدام قرص حقيقي في معالج VM جديد أو إضافة قرص ظاهري جديد أساسي إلى VM الموجود. تتذكر أن صورتنا .e01 هي
PhysicalDrive3 الآن
4. لذلك ، تحتاج فقط إلى بدء VM ومشاهدة بعض السحر IT
لينكس الجزء1. الأداة الأكثر شيوعًا التي تستخدم لإرفاق صور .e01 هي البرنامج النصي ewfmount.py. ولكن هناك قيود واحدة ثابتة - يتم إرفاق هذه الصورة في
وضع القراءة فقط . انها غير مناسبة للجهاز الظاهري. لذلك
سنستخدم الأمر
xmount مثل:
sudo xmount --in ewf <path_to_image> --cache <path_to_cache_file> --out vdi <path_to_mount_point>
الملامح الرئيسية لـ xmount بالنسبة لنا - تعمل على تثبيت الصورة في وضع القراءة والكتابة ويمكن أن تستغرق الكثير من أنواع الصور عند الإدخال. يمكنك التحقق من بناء جملة xmount
هنا .
2. حسنًا ، لدينا الآن صورة .vdi في / mnt / windows_mount
3. دعنا نفتح VirtualBox وننشئ VM جديدًا باستخدام صورة .vdi (اختر القرص الموجود) كقرص أساسي
4. وأخيرا مجرد التمهيد حتى VM والتمتع به!
