我有一个 AVHDX 文件,它是损坏的快照链的一部分。但是,如果我可以在链中的最后一个 AVHDX 上运行取证工具,我相当肯定上面会有有用的连续数据。我在 Linux VM 下准备好了一个工具,并想将 AVHDX 附加为新的 IDE 驱动器,但当我尝试在 VM 的“设置”对话框中单击“确定”时,HyperV 告诉我它已损坏。有没有办法强制它接受 AVHDX(尽管已损坏)并仍能启动它?
答案1
我认为没有任何方法可以让 Hyper-V 仅挂载该部分快照文件。
但是您的 Linux 取证工具应该能够像在 IDE 驱动器上一样对文件进行操作。Linux 的一大优点是它将所有内容都视为文件。只需将文件本身复制到 Linux VM 并从那里对其进行操作即可。
如果您的工具无法直接操作该文件,您可能需要使用 Linux 中的“losetup”命令来创建环回并将该文件挂载为虚拟磁盘。