简介

在办案过程中，经常需要对调证回来的服务器镜像进行取证分析，镜像多为raw格式。在没有仿真系统或者镜像较少的情况下，需要转换raw文件在虚拟机中分析取证。

转换成虚拟机文件

将.raw文件转为vmdk/vdi（分别对应vmware、virtualbox），这里我选择vmdk。

安装qemu：

• Windows安装
• Mac安装
  Mac也可使用brew install qemu

转成虚拟机文件：

qemu-img convert -p -f raw xxxx.raw -O out.vmdk
//其中xxx.raw就是原始raw文件

创建虚拟机

在文件中新建虚拟机：

一直下一步，选择稍后安装操作系统

修改名称和虚拟机位置（换成其他盘）：

选择 不使用网络连接，避免有外连

选择 使用现有虚拟硬盘，下一步导入刚才转换好了的vmdk即可

密码破解

在开启虚拟机后，需要对登录密码进行破解

centos密码破解

开机立马按住键盘e键进入编辑模式

修改这里，多余的删除（idle = halt ···· noibrs）

然后按下ctrl+x，ctrl+c
修改密码：
echo "123456" | passwd --stdin root
如果selinux开启，还需要：touch /.autorelabe
重启系统：
exec /sbin/init

即可使用修改后的密码登录

windows

制作pe系统，不需要u盘。这里我选大白菜

生成ISO文件

vmware挂载iso文件

右键虚拟机，选择【打开电源时进入固件】

修改bios启动项，设置cd-rom为第一启动项

退出就自动开机进入大白菜pe系统，选择【7】破解密码即可。之前经常用【1】进入gui中破解和绕过，在此处行不通。

选择C盘所在分区

我选择了清除密码，重启即可进入Windows server

挂载其他vmdk文件为其他盘符

有时镜像会拆分为os.vmdk和data.vmdk。在恢复完成os后，只显示了C盘。此刻把data.vmdk挂载到os.vmdk即可

分析

后续即可使用各种工具进行取证分析