本文介绍了在电子数据取证中,如何利用7-Zip快速查看和导出vmdk等镜像文件数据。对比了EnCase Imager、FTK Imager和X-Ways Forensics,强调7-Zip支持多种镜像格式,如DMG、EXT、GPT、HFS、ISO等,提供了解压缩工具在取证工作中的高效解决方案。
电子数据取证工作中,加载、查看镜像文件数据是非常高频的需求,也是取证软件最基础最功能,但这并不意味着每个取证软件都能把这一功能做到极致。
大部分取证软件加载镜像需要比较长的时间。国内的取证软件,一般需要先新建案例后添加镜像,完成文件系统解析才能浏览其中的数据。个人一直不习惯这一逻辑,因为每天要加载查看很多的镜像,但大多数情况下都是临时分析,每次创建案例耗时容易打断思路,而且软件启动后看到一堆无用的案例对于我这种有强迫症的人来说看着非常不舒服。
免费的EnCase Imager查看镜像倒是不需要新建案例,双击打开EnCase Imager后,点击“Add Evidence File”或“Add Raw Image”即可添加镜像文件。但和EnCase一样,EnCase Imager让我无法忍受的是文件系统解析实在太慢了,一个NTFS分区MFT解析动辄几十秒甚至几分钟。
免费的FTK Imager同样打开软件后就可以直接加载镜像文件了,速度也比EnCase Imager及其他取证软件快不少。FTK Imager加载镜像文件后,并没有马上解析文件系统中的所有文件,当用户展开某个文件夹时,FTK Imager才去解析该文件夹下的文件记录,这一特性使得FTK Imager加载镜像文件速度远超其他软件。
虽然FTK Imager不需要创建案例就可以直接加载镜像文件,而且解析文件的速度也很快,但打开FTK Imager→点击加载镜像按钮→浏览选择镜像→点击完成→开始浏览数据这一整套浏览流程下来对我来说还是太慢了。有没更快的工具呢?答案是肯定的,X-Ways Forensics堪当此任&
最低0.47元/天 解锁文章
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
