看来,我能find的大部分post都向我展示了如何使用VMDK并将其转换为FTK图像进行处理。 我想以另一种方式,并获得一个可启动的VMWare镜像。 我find了虚拟法医计算工具,但我只是一个业余爱好者,买不起。 我希望LiveView会是我的救星,但它不喜欢FTK图像格式。
有没有一个工具可以为我免费做一点点工作? 例如,我知道如果我能把它转换成原始的“dd”风格转储,那么我可以使用qemu-img转换成VMDK。
你的问题很混乱,因为你引用了不存在的“FTK图像”格式。 也许你指的是AccessData的AD1格式,这是一个逻辑图像,不包括像未分配空间的东西?
FTK Imager是一个免费的工具,可以创build和转换多种格式,包括像Encase E01,RAW dd,SMART S01和高级取证格式AFF等常见的格式的磁盘映像。 这听起来像你的问题将被解决,如果你可以转换你的文件到一个RAW / DD图像,因为你可以使用QEMU在这一点上。 FTK Imager应该能够将你所说的“FTK Image”格式转换成RAW / dd格式,并且符合你的免费要求。 使用以下步骤:
安装FTK Imager或使用便携式版本并启动应用程序。 文件 – >创build磁盘映像 – >select源=图像文件 – >select您的原始文件 – >完成 – >添加图像目的地 – >原始(dd) – >下一步 – >下一步 – >select一个目标文件夹和文件名 – 片段大小= 0 – >完成。
我还没有尝试过,但是你可以用Encase成像器(也是免费的)安装“E01”镜像,如果它和FTK Imager一样安装,你可以挂载成物理的和逻辑的(或者只是物理的这是必要的)。 由于Guidance和Accessdata是市场上的竞争对手,而且FTK Imager具有安装能力,所以EnCase Imager也可以。 在任何情况下,然后启动FTK Imager,并执行E01的“物理”安装的DD映像输出。