【一例】電子數據取證

題目描述

小明是某安全公司的職員，今天是他第一次參與客戶應急工作，來到客戶現場，客戶給了他一個文件，然後客戶就忙著開會去了……來吧，讓我們一起幫助小明看一下，這個文件里到底有什麼內容?

Tips：在這個文件中發現key文件找到key並提交即可通關

解題思路

點擊「通關地址」後下載下來的是一個擴展名為.vmdk的文件。 這個文件是vmware虛擬機軟體的虛擬硬碟文件。 因此馬上考慮使用vmware虛擬機掛載啟動vmware，選擇一個虛擬機（我這裡選擇的是kali），單擊左側的「編輯虛擬機設置」，在彈出的對話框中，單擊「添加」，選擇「硬碟」，單擊「下一步」在「選擇磁碟」這一步中，選擇「使用現有虛擬磁碟」，單擊「下一步」，選擇剛才下載下來的.vmdk文件。 接著vmware會詢問是否要轉換磁碟格式，選擇「保留原有格式」啟動虛擬機，可以看到多出了一個新硬碟，打開發現key.txt就保存在該磁碟中。

相關知識

vmware虛擬機可以使你在一台機器上同時運行二個或更多Windows、DOS、LINUX系統。 與「多啟動」系統相比，VMWare採用了完全不同的概念。 多啟動系統在一個時刻只能運行一個系統，在系統切換時需要重新啟動機器。 VMWare是真正「同時」運行，多個操作系統在主系統的平台上，就象標準Windows應用程序那樣切換。 而且每個操作系統你都可以進行虛擬的分區 、配置而不影響真實硬碟的數據，你甚至可以通過網卡將幾台虛擬機用網卡連接為一個區域網，極其方便。 安裝在VMware操作系統性能上比直接安裝在硬碟上的系統低不少，因此，比較適合學習和測試。

本題考查了vmware的虛擬磁碟文件vmdk。 另外，在vmdk中，是以文本文件模擬二進位存儲的格式存儲數據的，使用文本編輯器打開vmdk文件，可以看到文本化保存的二進位數值。

http://mp.weixin.qq.com/s?__biz=MjM5MTA0NjU3Ng==&mid=2652700038&idx=2&sn=0a06a5e68f294dba0bd3fc1f835c9f3b&chksm=bd53d3598a245a4f14a4fe1094caeab1ee7b1eff42a0cfe41cc8a0d92cd40ff33f76c454ce64&scene=0#rd