RANFS虛擬磁盤驅(qū)動器可以將因特網(wǎng)和本地存儲機器設(shè)備、運行內(nèi)存、文檔等作為本地磁盤,而遠(yuǎn)程控制機器設(shè)備必須運行RFSD服務(wù)項目,即基于因特網(wǎng)可以將Windows、Macosx、Linux、Android系統(tǒng)、IPhone等系統(tǒng)軟件的有關(guān)機器設(shè)備文檔作為本地磁盤進(jìn)行虛擬。借助視窗彩色磁盤管理專用工具,實現(xiàn)遠(yuǎn)程控制設(shè)備的數(shù)據(jù)信息讀寫,修復(fù),調(diào)查取證等實際操作。
RANFS虛擬磁盤驅(qū)動器安裝教程
在被鏡像取證的Windows系統(tǒng)上,下載RFSD并運,RFSD是跨平臺的件操作服務(wù),通過該服務(wù)可實現(xiàn)讀取Windows硬盤數(shù)據(jù)。
下載解壓后,請管理員權(quán)限運rfsd.exe,會出現(xiàn)控制臺窗體,此被鏡像取證系統(tǒng)上的準(zhǔn)備作完成。
在要鏡像取證的Windows系統(tǒng)上,安裝RFDK,RFDK是虛擬磁盤驅(qū)動器,可以把遠(yuǎn)程硬盤虛擬為本地磁盤。
下載到本地解壓,執(zhí)install.bat等待安裝完成,此準(zhǔn)備作完成。
更多的幫助安裝包的:rfdk-cn.pdf
RANFS虛擬磁盤驅(qū)動器使用教程
掛載磁盤
在Windows上運rfdk-dbg,在輸欄輸下的命令后回。
mount rfp://192.168.63.130/dev/disk0
測試的Windows系統(tǒng)ip為:192.168.63.130,需要讀取的硬盤為:/dev/disk0
注意:這的/dev/disk0就是\.\PhysicalDrive0,只是為便于輸,以此類推:/dev/disk1就是.\PhysicalDrive1
然后就可以使winhex等工具,打開\.\PhysicalDrive2
掛載內(nèi)存
輸命令: mount rfp://192.168.63.130/dev/pmem
測試的Windows系統(tǒng)ip為:192.168.63.130, /dev/pmem 為\Device\PhysicalMemory的別名,代表物理內(nèi)存。
注:讀取物理內(nèi)存需要加載驅(qū)動,請允許RFSD加載驅(qū)動,否則可能會返回超時錯誤。
然后就可以使winhex等工具,打開\.\PhysicalDrive3。
注意:請確保網(wǎng)絡(luò)正常,及RFSD正常運,如果網(wǎng)絡(luò)斷了或RFSD異常關(guān)閉,虛擬磁盤將動消失。