从 Encase 映像创建虚拟机

Question 1

首先确保您的磁盘映像为原始格式。Encase 要么已经以原始格式存储它，要么能够以原始格式导出它。

对于 VirtualBox，您可以使用虚拟盒管理使用命令转换自原始数据选项。这会将您的磁盘映像转换为 Virtualbox 可读的格式。

确保始终在真实机或虚拟机中安装映像的副本，以免原始映像受到损害。

接下来，您可以使用转换后的映像作为主磁盘（从其启动）创建虚拟机，或者使用任何取证操作系统并将磁盘安装到虚拟机中以进行进一步检查。

最后我找到了三个可能有用的链接：

Answer

首先确保您的磁盘映像为原始格式。Encase 要么已经以原始格式存储它，要么能够以原始格式导出它。

对于 VirtualBox，您可以使用虚拟盒管理使用命令转换自原始数据选项。这会将您的磁盘映像转换为 Virtualbox 可读的格式。

确保始终在真实机或虚拟机中安装映像的副本，以免原始映像受到损害。

接下来，您可以使用转换后的映像作为主磁盘（从其启动）创建虚拟机，或者使用任何取证操作系统并将磁盘安装到虚拟机中以进行进一步检查。

最后我找到了三个可能有用的链接：

Question 2

为了进行虚拟重建（使用现有的.e01 或 .dd/.img），我执行以下操作：

使用 Access data 的 ftk imager（版本 3 或更高版本）来安装图像（windoze），或者您可以使用 mount image pro 来执行相同操作
要将原始图像转换为 vmdk，我使用了以下工具，效果很好 -http://sourceforge.net/projects/raw2vmdk/（仅供参考，要做相反的操作，请将 vmdk 转换为 dd。
您可以使用 VFC（虚拟取证计算 -http://www.virtualforensiccomputing.com/) 将为您创建虚拟映像。根据分区布局，找到活动的启动分区。生成 VM，然后您可以使用 vmware player 或工作站打开 .vmx。
这将允许您将 .e01 或 dd/img 映像转换为 .vmdk，使用 vmware 启动它，然后通过重建的 .e01 到 .vmdk 对您想要的任何应用程序进行应用程序分析。

Answer

为了进行虚拟重建（使用现有的.e01 或 .dd/.img），我执行以下操作：

使用 Access data 的 ftk imager（版本 3 或更高版本）来安装图像（windoze），或者您可以使用 mount image pro 来执行相同操作
要将原始图像转换为 vmdk，我使用了以下工具，效果很好 -http://sourceforge.net/projects/raw2vmdk/（仅供参考，要做相反的操作，请将 vmdk 转换为 dd。
您可以使用 VFC（虚拟取证计算 -http://www.virtualforensiccomputing.com/) 将为您创建虚拟映像。根据分区布局，找到活动的启动分区。生成 VM，然后您可以使用 vmware player 或工作站打开 .vmx。
这将允许您将 .e01 或 dd/img 映像转换为 .vmdk，使用 vmware 启动它，然后通过重建的 .e01 到 .vmdk 对您想要的任何应用程序进行应用程序分析。

Question 3

所以您根本就不需要创建新的图像。以管理员身份完成所有后续步骤！

使用 FTK Imager 安装 .E01 图像并给它一个写缓存. 注意映像安装到哪个物理驱动器。

最好的选择是使用命令

vboxmanage.exe internalcommands createrawvmdk -filename "C:\SomePath\somefile.vmdk" -rawdisk \\.\PhysicalDrive2

注意：以物理驱动器编号 2 为例，使用 ftk 中所示的任何驱动器。

该命令会创建一个指向已安装映像文件的 .VMDK 指针。您现在可以在虚拟盒中创建一台机器，为其提供正确的操作系统，并将 .VMDK 指针添加为硬盘。系统现在应该可以启动了。

故障排除问题注意事项：

如果系统出现蓝屏，则可能是硬盘控制器的问题。在虚拟机设置中将控制器从 SATA 更改为 IDE。然后尝试将下拉控制器框更改为 ICH6。

如果系统是 UEFI，则必须选中 UEFI 框。

以管理员身份运行一切！这可能是无法虚拟化的原因。

除了这个好看之外:)

Answer