镜像文件格式(电子数据镜像格式的转换，以qcow2转raw为例)

镜像文件格式
    最近，我在用X-Ways Forensics处理镜像的时候遇到一些问题，涉及到一些软件对于镜像格式的支持及镜像格式的转换问题。下面以2017年的“美亚杯”的一个镜像简单记录一下。
  我们在取证的过程中，会碰到各种各样的镜像，例如，raw,001,dd,img,aff,e01,ex01,vmdk,vhd,vdi,qcow,qcow2等等！

    一般情况下我们直接取证工具就会自动解析咯，但是如果恰好碰到无法解析的情况，那估计就需要转换格式了！
1 首先在一份efc-hd.e01镜像中存在一个名为vm0-hd文件     

2 结合题目的意思，这个vm0-hd的文件应该是linux内的磁盘镜像

3 一般情况下，我们不会考虑过多，直接将该文件导出，然后利用X-Ways Forensics直接加载即可，但是这次出现了下面的问题：

4 显然，这是出错了，那么我们使用qemu-img查看一下这个镜像文件的格式吧！

5 ok，镜像的格式是qcow2，我们看一看X-Ways Forensics支持的镜像类型，果然，not support!

6 但是，我们还是想继续在X-Ways上来解决问题，那就需要转化镜像的格式了。继续使用qemu-img，然后，命令的格式为
qemu-img  convert -f  <原格式类型>  -O  <要输出的格式类型>   <原文件名>   <要输出的文件名> 
注意:当我在使用这个东西时候，E01的格式类型是要写成RAW的，不然会报错！

7 Now，试着去转化它！

8 成功加载，并且可以看到里面的内容

另外，我在必哥的指导之下，了解到鉴证大师是可以支持直接加载qcow2的镜像文件的。

那么加载镜像试一下，还不错！

qemu-img的安装程序，后台回复‘qemu’下载哦！

镜像文件格式相关文章