我发现的大多数帖子似乎都向我展示了如何获取 VMDK 并将其转换为 FTK 映像进行处理。我想采用另一种方法,获取可启动的 VMWare 映像。我找到了虚拟取证计算工具,但我只是个业余爱好者,买不起。我希望 LiveView 能救我一命,但它不喜欢 FTK 映像格式。
有没有一种工具可以免费帮我完成这项任务,而且只需要一点工作量?例如,我知道如果我可以将其转换为原始的“dd”样式转储,那么我可以使用 qemu-img 隐蔽将其转换为 VMDK。
答案1
您的问题令人困惑,因为您提到的“FTK 图像”格式并不存在。也许您指的是 AccessData 的 AD1 格式,这是一种逻辑图像,不包括未分配空间之类的内容?
FTK Imager 是一款免费工具,可以创建磁盘映像并在多种格式之间进行转换,包括常见的格式,如 Encase E01、RAW dd、SMART S01 和 Advanced Forensic Format AFF。听起来,如果您可以将文件转换为 RAW/dd 映像,您的问题就会得到解决,因为此时您可以使用 qemu。FTK Imager 应该能够将您称为“FTK Image”的格式转换为 RAW/dd,并且它满足您的免费要求。使用以下步骤:
安装 FTK Imager 或使用便携版本并启动应用程序。文件 -> 创建磁盘映像 -> 选择源 = 映像文件 -> 选择原始文件 -> 完成 -> 添加映像目标 -> 原始 (dd) -> 下一步 -> 下一步 -> 选择目标文件夹和文件名 -> 映像片段大小 = 0 -> 完成。
答案2
我还没有尝试过,但您可能能够使用 Encase Imager(也是免费的)安装“E01”图像,如果它与 FTK Imager 安装效果相同,则可以将其安装为物理和逻辑(或者只需物理即可)。我猜了一下,因为 Guidance 和 Accessdata 是市场上的竞争对手,并且 FTK Imager 具有安装功能,那么 EnCase Imager 可能也一样。无论如何,然后启动 FTK Imager,并执行 E01“物理”安装的 DD 图像输出。