在某些情形下,通过磁盘复制机将物理计算机的磁盘进行拷贝,形成raw文件,这时需要对其硬拷贝的磁盘文件进行查看和获取密码,通过实际测试,可以通过AccessData FTK Imager加载磁盘文件进行查看,同时还可以通过StarWindConverter将raw文件转换为vmdk文件后,通过创建虚拟机加载该磁盘文件再现还原镜像。
1.1.1安装AccessData FTK Imager软件
FTK Imager 是免费的镜像工具,功能强大,支持几十种镜像格式,E01、DD、L01、DMG、VMDK、VHD、AD1,使用过程中几乎没有遇到挂在不了的镜像格式。FTK Imager强大之处还在于可以获取当前内存镜像、获取受保护的文件,例如直接获取当前系统的注册表文件。其公司网站为:https://accessdata.com。安装过程很简单,根据提示进行安装即可。
1.1.2加载镜像文件
运行AccessData FTK软件,单击菜单中的“File”-“Image Mounting”,如图1所示,在Image中选择需要加载的镜像文件,在Mount Method中选择相应的方法,如果仅仅是取证则选择只读,否则选择可写。然后单击“Mount”加载镜像文件到磁盘。
图1加载镜像文件
1.1.3访问逻辑磁盘并提取相应文