镜像文件恢复

前期准备工作

• 需要恢复的文件为 E01格式的文件,是 EnCase的压缩格式,一般用于取证
• 使用工具: qemu ftk image vmware wmware已经运行的win10
• 踩坑点: qemu无法识别 E01格式的文件无法直接转换,需要 ftk image来转换

E01转换为RAW

• 使用ftk image来转换文件
• 文件

• 使用 ftk image 导入

• 添加进来后能看镜像内的到系统文件

• 然后导出文件为 raw格式

• 填入要出的文件地址和文件名,文件大小 1500建议改为 0,会是一整个文件,不然会变成好多个文件不便于使用 qemu来恢复

• 经过漫长的等待就导出成功了

RAW转换VMDK

• qume转raw为vmdk

• 一行命令

qemu-img.exe convert -p -O vmdk "转换前的文件" "转换后的文件"

qemu-img.exe convert -p -O vmdk "ftk转换的raw的镜像" "001.vmdk"

• 等进度条走完就好了

• 检查下文件,能识别格式就ok了

使用vmware来挂在镜像

• 添加个硬盘

• 选择转换好的 vmdk格式的文件

• 保持现有格式

• 正常打开虚拟机,就可以查看镜像内的文件了

总结

• 流程就是转换格式来打开镜像文件
• 这次的主要任务是拿镜像内的文件来分析没有就没把镜像给跑起来
• 有一些取证的仿真工具可以直接上传运行系统会更方便