【镜像仿真篇】Linux镜像仿真、E01镜像取证
主要是Linux镜像仿真(DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的“磁盘占用”,导致无法成功仿真的问题!—【蘇小沐】
前篇"【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真 (qq.com)、【镜像取证篇】DD系统镜像仿真问题的一些补充说明 (qq.com)"已经介绍了DD、E01镜像的仿真,本文以Linux的E01镜像为例,进行镜像仿真!
(一)FTK Imager 挂载镜像
FTK Imager官网链接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。
1、FTK Imager“可写”模式
1)选择“可写”模式! (路径:文件->Imager Mounting);
2)mount成功后,会在本地磁盘显示出新的分区,记住"驱动器号";
*“注意一”!!!
本地“磁盘管理”看是否显示挂载的磁盘,来确认镜像的挂载真实性,虚拟磁盘挂载的本地无法找到硬盘!!!
(二)新建VMware虚拟机
VM官网链接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。
注意几个关键点,实在不清楚的看这篇:【https://blog.csdn.net/NDASH/article/details/109300477】;
1、选择客户端镜像系统
此镜像是Linux的Ubuntu系统,不清楚的也可以看FTK Imager 挂载起来的分区;
2、磁盘类型选择“SATA”
*“注意二”!!!
Linux系常选择“SATA、SCSI”,Windows Server常选择“IDE”;
3、本地磁盘
*“注意三”!!!
选择“使用物理磁盘”,选择 FTK Imager 挂载起来的对应驱动器号。
4、镜像成功仿真
到这里直接下一步即可完成虚拟机的创建了,出现的下图这些点击是就行了。
跑马灯
前面操作没问题的话,系统镜像就正常被启动起来了。
5、错误示范:
从虚拟磁盘挂载的镜像,在磁盘管理里面并没有对应的磁盘,提示“物理磁盘已被占用”,无法进入系统!
总结
注意“磁盘管理”里查看镜像是否已“真实”挂载到本地!
书写片面,纯粹做个记录,有错漏之处欢迎指正。
【著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处】