VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试

查看本文：百度博客“图文版”

对于磁盘镜像、Encase证据文件、dd镜像文件，有些时候调查员希望能够利用第三方工具对证据文件进行分析，因此Mount Image Pro， Smart Mount这类的镜像文件加载工具就非常有用了。他们可以把镜像文件重新虚拟为逻辑磁盘或物理磁盘，可以通过Windows直接察看其中的内容，或使用FinalData 3.0，Winhex15.2 这类的数据恢复、磁盘编辑工具对其中的删除数据进行恢复。

但有些时候，调查员不满足于仅仅通过浏览器的方式察看磁盘和证据文件内容，而希望通过虚拟机加载镜像文件中的操作系统，以察看Windows启动的过程，这时候VFC这种虚拟仿真工具就非常有用了。


VFC是英国MD5公司推出的一个虚拟仿真工具，可以利用VMware Player加载物理硬盘，也可以配合Smart Mount或Mount Image Pro，首先将镜像文件加载为虚拟的硬盘，然后再利用VFC和VMplayer进行虚拟启动。这个工具使用非常简单，效果也不错。


1、使用VFC，首先需要安装VMware DiskMount和VMware Player。

2、启动VFC后，插入软件锁，即可看到软件正式版的界面。当前最新版本为VFC 1.2.4.3。调用物理磁盘，可以选择Physical/Mounted Disk。Mounted Disk就是被Mount Image Pro或Smart Mount加载的证据文件镜像。


3、可以看到当前系统中可以发现的物理磁盘，选择所需要的磁盘即可。

4、选择的物理磁盘内包含有多个分区，选择需要利用VMware加载的可引导分区。

5、选择Generate Virtual Machine，利用VFC创建一个虚拟机文件。

6、虚拟机创建成功后，Launch Virtual Machine按钮变为可用，选择Launch Virtual Machine。

7、VmWare Player启动，加载vfc所创建的证据文件/物理磁盘虚拟机，可看到系统状态。

利用Smart Mount和Mount Image Pro，不会改变原是证据文件内容。而直接利用物理磁盘，则有可能造成数据改变。因此建议使用虚拟加载软件，而不要直接对证据硬盘进行操作。