Кажется, что большинство сообщений, которые я могу найти, показывают мне, как взять VMDK и преобразовать его в изображение FTK для обработки. Я бы хотел пойти другим путем и получить загрузочный образ VMWare. Я нашел инструмент Virtual Forensic Computing, но я просто любитель и не могу позволить себе его купить. Я надеялся, что LiveView станет моим спасителем, но ему не нравится формат изображения FTK.
Есть ли инструмент, который сделает это за меня бесплатно с небольшой работой? Например, я знаю, что если бы я мог получить просто необработанный дамп в стиле «dd», то я мог бы использовать qemu-img covert, чтобы сделать его VMDK.
Ваш вопрос сбивает с толку, потому что вы ссылаетесь на несуществующий формат «FTK Image». Возможно, вы имеете в виду формат AD1 AccessData, который является логическим образом и не включает в себя такие вещи, как нераспределенное пространство?
FTK Imager - это бесплатный инструмент, который может создавать и конвертировать образы дисков между многими форматами, включая такие распространенные, как Encase E01, RAW dd, SMART S01 и Advanced Forensic Format AFF. Похоже, ваша проблема будет решена, если вы сможете преобразовать файл в изображение RAW / dd, поскольку в этот момент вы можете использовать qemu. FTK Imager должен иметь возможность конвертировать формат, который вы называете «FTK Image», в RAW / dd, и он должен соответствовать вашим требованиям к бесплатному использованию. Используйте следующие шаги:
Установите FTK Imager или используйте портативную версию и запустите приложение. Файл -> Создать образ диска -> Выбрать источник = Файл изображения -> Выбрать исходный файл -> Готово -> Добавить место назначения изображения -> Raw (dd) -> Далее -> Далее -> Выбрать папку назначения и имя файла -> Изображение Размер фрагмента = 0 -> Готово.
Я не пробовал этого, но вы могли бы смонтировать образ "E01" с помощью тепловизора Encase (также бесплатного), и если он работает так же, как монтаж тепловизора FTK, вы можете смонтировать как физический, так и логический (или только физический - все что необходимо). Я немного догадываюсь, так как Guidance и Accessdata являются конкурентами на рынке, а FTK Imager имеет возможность монтажа, то EnCase Imager тоже может. В любом случае, затем запустите FTK Imager и сделайте вывод DD-образа «физического» крепления E01.