数字取证-E01转vmdk

前言

当我们在取证的过程中，在获取镜像文件的时候，想要通过虚拟机进行数据分析的，这时候需要把镜像文件转换成虚拟机可读的类型（vmdk）

所需软件

qemu-w64-setup-20240423-9.0.0

FTK Imager

VMware Workstation Pro

流程介绍

通过FTK将E01文件转换为Raw类型，然后再使用qemu将该类型变成vmdk

具体流程

FTK Imager部分

打开FTK Imager，添加证据项，导入test.E01文件。

进行格式转换（大文件可能需要一定时间）

qemu部分

查看一下版本

qemu-system-arm.exe -version

检查转换的文件test

qemu-img info "F:\tes\test\test"

进行转换

qemu-img convert -f raw -O vmdk "F:\tes\test\test" "F:\test.vmdk"

可能需要一定的时间

vm操作

1. 打开 VMware Workstation：启动该软件。
2. 创建新虚拟机：点击 “创建新的虚拟机” ，选择 “自定义（高级）” ，然后点击 “下一步” 。
3. 选择操作系统：在 “选择安装来源” 页面，选择 “稍后安装操作系统” 。根据 vmdk 文件中实际的操作系统（这里是 CentOS 7.6 ），选择对应的 “Linux” 系统及 “CentOS 7 64 位” 版本 ，再点击 “下一步” 。
4. 配置硬件参数：按需求配置 CPU、内存等硬件参数，完成后点击 “下一步” 。
5. 选择磁盘：在 “选择磁盘” 页面，选择 “使用现有虚拟磁盘” ，点击 “下一步” 。然后在弹出窗口中，通过 “浏览” 找到 F:\test.vmdk 文件，选中后点击 “确定” 。
6. 完成虚拟机创建：确认其他配置无误后，点击 “完成” 。此时就创建好了关联该 vmdk 文件的虚拟机。
7. 启动虚拟机：在 VMware Workstation 界面中，选中刚创建的虚拟机，点击 “开启此虚拟机” ，即可启动并使用 vmdk 文件中的 CentOS 7.6 系统

这样子就还原完成了