睿海微百科：

睿海微百科與您分享取證方案、技術經驗，搜索關鍵詞就能找到您想要的取證相關信息。

一、引言

????? 計算機虛擬技術是通過軟件來模擬計算機真實環境的技術 —— 在一臺計算機上安裝虛擬機后，可以模擬出多臺機器的效果，完成某些場合的特殊需求。因此，越來越多的數據以及服務被存儲和移植到虛擬計算機上，對虛擬機的數據采集與恢復等取證的需求也越來越多。

二、案情回顧

?????? 近年來因為直播打賞而被騙的案件越來越多，小編身邊就有朋友被騙，而且經歷比較奇特——一般案件中，打賞等行為都是使用手機直接支付，而這個朋友習慣使用模擬器，日常訂外賣、網購、發紅包也都是通過模擬器上的App支付，某天他在給主播送禮物時，點了直播頁面的廣告(1RMB=1000抖幣)，加了廣告上的微信并轉賬過去，結果......

三、過程與分析

??????像這樣使用虛擬機進行支付，然后被騙的人一年不知道有多少？如何對虛擬機內的App數據進行提取和解析呢？

?????? 小編和大家一起了解下虛擬機鏡像是如何提取和解析的。利用睿海科技新研發的小工具，虛擬機在運行過程中會生成VMDK格式的鏡像文件，所有用戶數據和有關虛擬服務器的配置信息都存儲在VMDK文件中。

(1)收到檢材后，利用睿海科技的手機取證軟件，操作如下：找到【文件取證】，點擊【虛擬機】。

(2)選擇虛擬機的鏡像文件

(3)對鏡像進行解析

(4)解析結果展示

?????? 此時，我們需要的數據已全部提取，雖然只是一個簡單的虛擬機解析工具，但是有時候也可能是一個案子至關重要的線索。

以下是小編和大家分享的關于虛擬機鏡像的一些常識，大家可以了解一下。

什么是虛擬機鏡像文件?

??????? 虛擬機鏡像文件是一個安裝有操作系統的磁盤分區,目前國內外有多種虛擬機鏡像格式可供選擇，包括raw、qcow2、vmdk、vdi、vhd、qed以及fvd等,這些格式的鏡像按照數據存儲方式的不同，可分為全鏡像模式(raw等)和稀疏模式(vmdk等),各鏡像格式根據應用領域不同各有優勢。

1、VMDK格式提取：通過解析.VMDK格式的磁盤鏡像，還原邏輯稀疏鏡像中的三層顆粒結構，對接ext等文件結構的尋址，解析出文件結構。

2、VDI格式提取：通過解析.VDI格式的磁盤鏡像，還原邏輯稀疏鏡像中的雙層結構，對接ext等文件結構的尋址，解析出文件結構。

往期推薦

正式上線，睿海微百科

【案例分享】一個斷裂U盤的數據恢復

介質數據恢復，“大”有可為！

手機日志分析在實戰中的重要性

總結

以上是生活随笔為你收集整理的vmdk文件怎么安装到虚拟机_【技术分享】虚拟机镜像解析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。