镜像文件恢复

前期准备工作

  • 需要恢复的文件为 E01格式的文件,是 EnCase的压缩格式,一般用于取证
  • 使用工具: qemu ftk image vmware wmware已经运行的win10
  • 踩坑点: qemu无法识别 E01格式的文件无法直接转换,需要 ftk image来转换

E01转换为RAW

  • 使用ftk image来转换文件
  • 文件

image-vwYM.png

  • 使用 ftk image 导入

image-bcUv.png

image-xtiJ.png

image-rkoY.png

  • 添加进来后能看镜像内的到系统文件

image-PYcx.png

  • 然后导出文件为 raw格式

image-rgao.png

image-HLGh.png

  • 填入要出的文件地址和文件名,文件大小 1500建议改为 0,会是一整个文件,不然会变成好多个文件不便于使用 qemu来恢复

image-CTiC.png

  • 经过漫长的等待就导出成功了

RAW转换VMDK

  • qume转raw为vmdk

  • 一行命令

qemu-img.exe convert -p -O vmdk "转换前的文件" "转换后的文件"

qemu-img.exe convert -p -O vmdk "ftk转换的raw的镜像" "001.vmdk"
  • 等进度条走完就好了

image-UYLc.png

  • 检查下文件,能识别格式就ok了

image-IraE.png

使用vmware来挂在镜像

  • 添加个硬盘

image-PdJl.png

image-gYsW.png

image-QrBk.png

  • 选择转换好的 vmdk格式的文件

image-AKmy.png

  • 保持现有格式

image-wvVi.png

image-flRp.png

  • 正常打开虚拟机,就可以查看镜像内的文件了

image-MHcQ.png

总结

  • 流程就是转换格式来打开镜像文件
  • 这次的主要任务是拿镜像内的文件来分析没有就没把镜像给跑起来
  • 有一些取证的仿真工具可以直接上传运行系统会更方便