我经常遇到这样一个问题:如何将Encase映像(.e01)作为主引导磁盘附加到虚拟机? 有时,数字取证专家需要启动研究机器的映像。 实际上,这并不难,但是此任务有一些必须计算的隐藏的石头。
对于这种情况,我将使用Windows版VMware Workstation和Linux版VirtualBox作为虚拟化平台。
Windows部分1.打开FTK Imager并将.e01映像作为
可写模式下的
物理 (仅)设备安装
2.注意产生的设备名称。 在这种情况下,它是
PhysicalDrive33.打开VMware Workstation并创建一个新的VM,但
不要创建虚拟磁盘 (如果存在,请删除一个
虚拟磁盘 )。 您必须选择“在新VM中
使用物理磁盘 ”向导,或将新的虚拟磁盘添加为现有VM的主磁盘。 您还记得我们的.e01映像现在是
PhysicalDrive3
4.因此,您只需要启动一个VM并观看一些IT魔术
Linux部分1.用于附加.e01图像的最典型工具是ewfmount.py脚本。 但是有一个严格的限制-该图像以
只读模式附加。 这不适用于虚拟机。 因此,我们将使用
xmount命令,例如:
sudo xmount --in ewf <path_to_image> --cache <path_to_cache_file> --out vdi <path_to_mount_point>
xmount对我们的主要功能-它以读写模式挂载图像,并且在输入时会占用很多图像类型。 您可以
在此处检查xmount语法。
2.好的,现在我们在/ mnt / windows_mount中有一个.vdi映像
3.让我们打开一个VirtualBox并使用.vdi映像(选择现有磁盘)作为主磁盘创建一个新的VM。
4.最后,只需启动VM即可享受!
