来源:电子取证及可信应用协创中心,原创:Hayden
最近,我在用X-Ways Forensics处理镜像的时候遇到一些问题,涉及到一些软件对于镜像格式的支持及镜像格式的转换问题。下面以2017年的“美亚杯”的一个镜像简单记录一下。我们在取证的过程中,会碰到各种各样的镜像,例如,raw,001,dd,img,aff,e01,ex01,vmdk,vhd,vdi,qcow,qcow2等等!
一般情况下我们直接取证工具就会自动解析咯,但是如果恰好碰到无法解析的情况,那估计就需要转换格式了!
1、首先在一份efc-hd.e01镜像中存在一个名为vm0-hd文件
2、结合题目的意思,这个vm0-hd的文件应该是linux内的磁盘镜像
3、一般情况下,我们不会考虑过多,直接将该文件导出,然后利用X-Ways Forensics直接加载即可,但是这次出现了下面的问题:
4、显然,这是出错了,那么我们使用qemu-img查看一下这个镜像文件的格式吧!
5、ok,镜像的格式是qcow2,我们看一看X-Ways Forensics支持的镜像类型,果然,not support!
6、但是,我们还是想继续在X-Ways上来解决问题,那就需要转化镜像的格式了。继续使用qemu-img,然后,命令的格式为
qemu-img convert -f -O
注意:当我在使用这个东西时候,E01的格式类型是要写成RAW的,不然会报错!
7、Now,试着去转化它!
8、成功加载,并且可以看到里面的内容
另外,我在必哥的指导之下,了解到鉴证大师是可以支持直接加载qcow2的镜像文件的。
那么加载镜像试一下,还不错!
干货链接: https://pan.baidu.com/s/1NX7sbdLMYD7AA2OIB9UPGg 提取码: dwy5