對於磁盤鏡像、Encase證據文件、dd鏡像文件,有些時候調查員希望能夠利用第三方工具對證據文件進行分析,因此Mount Image Pro, Smart Mount這類的鏡像文件加載工具就非常有用了。他們可以把鏡像文件重新虛擬為邏輯磁盤或物理磁盤,可以通過Windows直接察看其中的內容,或使用 FinalData 3.0,Winhex15.2 這類的數據恢復、磁盤編輯工具對其中的刪除數據進行恢復。
但有些時候,調查員不滿足於僅僅通過瀏覽器的方式察看磁盤和證據文件內容,而希望通過虛擬機加載鏡像文件中的操作系統,以察看Windows啟動的過程,這時候VFC這種虛擬仿真工具就非常有用了。
VFC是英國MD5公司推出的一個虛擬仿真工具,可以利用VMware Player加載物理硬盤,也可以配合Smart Mount或Mount Image Pro,首先將鏡像文件加載為虛擬的硬盤,然後再利用VFC和VMplayer進行虛擬啟動。這個工具使用非常簡單,效果也不錯。
1、使用VFC,首先需要安裝VMware DiskMount和VMware Player。
2、啟動VFC後,插入軟件鎖,即可看到軟件正式版的界面。當前最新版本為VFC 1.2.4.3。調用物理磁盤,可以選擇Physical/Mounted Disk。Mounted Disk就是被Mount Image Pro或Smart Mount加載的證據文件鏡像。
3、可以看到當前系統中可以發現的物理磁盤,選擇所需要的磁盤即可。
4、選擇的物理磁盤內包含有多個分區,選擇需要利用VMware加載的可引導分區。
5、選擇Generate Virtual Machine,利用VFC創建一個虛擬機文件。
6、虛擬機創建成功後,Launch Virtual Machine按鈕變為可用,選擇Launch Virtual Machine。
7、VmWare Player啟動,加載vfc所創建的證據文件/物理磁盤虛擬機,可看到系統狀態。
利用Smart Mount和Mount Image Pro,不會改變原是證據文件內容。而直接利用物理磁盤,則有可能造成數據改變。因此建議使用虛擬加載軟件,而不要直接對證據硬盤進行操作。
轉自計算機取證技術
0 意見: