有时候,需要把镜像仿真的虚拟机给客户看数据,给非取证同事协助分析,这个可以通过改一些虚拟机文件配置,让镜像仿真的虚拟机无需仿真软件环境也能够运行,自由复制移动。
我用的是盘古石计算机仿真系统,如果是dd这类原始镜像仿真的虚拟机,仿真虚拟机目录如下:
用记事本去编辑不带“000001.vmdk”、“000002.vmdk”的vmdk文件,大小是1kb的那个,可以看到其中的一个绝对路径指向了仿真时选择的镜像文件,如下:
只要把这个路径改成相对路径,例如改成”.\winxp.001”,指向的就是和vmdk文件同级目录下的名为winxp.001的镜像文件。
然后把镜像拖过来,放到vmdk文件同级目录下,就完成了,如下:
这时候把上图整个虚拟机目录拷给别人,然后在VMware Workstation Pro中打开vmx文件就能直接用了。
原本的镜像不会被修改,哈希值也不会变。
如果是E01等非原始镜像,还是得借助仿真工具的挂载功能,但可以借助VMware Workstation Pro的虚拟机克隆功能,将仿真的虚拟机转化成标准的VMware Workstation Pro生成的虚拟机。
注意要选择创建完整克隆
E01这种带有压缩的镜像,挂载后就是它的真实容量,所以克隆的虚拟机也会非常大,我的这个25GB的镜像仿真的虚拟机导出后是300GB。
然后克隆的这个虚拟机就可以随便复制了。