来都来了,不顺手收藏评论点赞么?

【原创】如何通过Winhex浏览VMDK磁盘

Linux Wangyeyu2015 1471℃

如题:最近偶尔有小伙伴问博主,要如何浏览VMDK磁盘,像是“xxx-disk1.vmdk”或“xxx-disk1-000001.vmdk”等磁盘。

如果是简单分析的话,在这里博主比较推荐使用 winhex 或者 “X-Ways Forensics” 其中一个软件,下面博主会以 winhex 举例。

首先,我们打开 winhex 点击左上角 “文件” -> “打开(O)”。

选中某某VMDK,(注意先不要选下面的”xxx-000001.vmdk”之类的小磁盘)具体原因后续会说明。

点击下面的文件类型,选择“所有镜像格式”。

接着点击“打开”,就打开了磁盘的预览界面。

那么我们要怎么打开其他的小磁盘呢?例如刚刚的“Kali-Linux-2020.3-disk1-000002.vmdk”文件。

首先,我们要了解一点,小磁盘中的数据是不完整的,需要引用其他磁盘,所以我们要浏览小磁盘的话,需要先打开引用到的磁盘。

我们可以先测试一下,例如,我想打开“Kali-Linux-2020.3-disk1-000002.vmdk”文件,我们关掉winhex在重新打开一下并按照上面的方法,仅打开“Kali-Linux-2020.3-disk1-000002.vmdk”文件。

我们可以看到提示无法加载这个磁盘。

我们使用notepad++打开“Kali-Linux-2020.3-disk1-000002.vmdk”看一下,可以看到他引用了“Kali-Linux-2020.3-disk1.vmdk”文件。

所以,如果需要打开“Kali-Linux-2020.3-disk1-000002.vmdk”文件就需要先打开“Kali-Linux-2020.3-disk1.vmdk”文件。

以此类推,如果想打开某个C.vmdk,而C.vmdk引用了B.vmdk,而B.vmdk引用了A.vmdk,那么就要先使用 winhex 打开A.vmdk,再打开B.vmdk,最终再打开C.vmdk。

所以我们重新操作一遍,首先打开“Kali-Linux-2020.3-disk1.vmdk”。

紧接着,我们再打开“Kali-Linux-2020.3-disk1-000002.vmdk”。
这时,我们可以看到,“Kali-Linux-2020.3-disk1-000002.vmdk”已经解析完毕了。

最后,我们再补充一点,我们在“Kali-Linux-2020.3-disk1-000002.vmdk”的磁盘中,双击“分区 1”,来解析分区看一下。可以发现目录已经解析完毕。

此时,我们回到原始磁盘“Kali-Linux-2020.3-disk1.vmdk”,同样双击“分区 1”。

但是我们看到他直接弹窗提示winhex没有解析这个分区,而是直接将刚刚“Kali-Linux-2020.3-disk1-000002.vmdk”的“分区 1”直接加载了,那么如果我们想看“Kali-Linux-2020.3-disk1.vmdk”的“分区 1”我们就要刷新快照才行。

我们点击“专业工具(I)”->“进行磁盘快照(V)…”

选中“更新快照(N)”,点击“确定”。

然后等待快照更新。

快照更新完毕后,就会可以看到“Kali-Linux-2020.3-disk1.vmdk”的“分区 1”啦。


PS:最后希望各位小伙伴能有所收获哦~

转载请注明:夜羽的博客 » 【原创】如何通过Winhex浏览VMDK磁盘

喜欢 (8)or分享 (0)
隐藏
变装