我似乎找不到任何关于此的信息。对于取证恢复而言,HyperV 差异 AVHDX 文件格式在内部是什么样的?
也就是说:它是否只是直接的块,就像 dd 输出的那样,但中间或标题中带有时间点元数据?还是主要数据以某种方式转码?还是保存在已知的内部文件系统中,如 NTFS 或 exFAT?如果我想直接打开 AVHDX,而不打开其链的其余部分,我应该告诉 TestDisk 什么?
原来的角色是第一代虚拟机。
答案1
根据规格,
VHDX 文件以固定大小的标头部分开始。在此之后,不重叠的对象和可用空间以无特定顺序自由混合;唯一的限制是所有对象在文件内都有 1 MB 对齐。当前定义的对象包括 BAT 区域(也称为 BAT)、元数据区域、标头、日志、有效负载块和扇区位图块。
但这也适用于 AVHDX:
VHDX 旨在支持 3 种类型的虚拟硬盘:固定、动态和差异。这 3 种类型的逻辑和物理布局相似...
但是,从文档的其余部分我了解的还不够多,无法知道这是否类似于 NTFS、FAT、ReFS 等等。
也就是说,在 GUI 模式下,可以使用 PhotoRec 而不是 TestDisk(它们捆绑在一起)从单独的 AVHDX 文件中恢复部分数据,但在专家模式下,也可以使用块大小为 4096 甚至 512 块大小的 CLI 版本恢复部分数据。