通过虚拟磁盘挂载实现VC加密镜像的软件分析(以火眼为例)

*取证大师中可直接添加镜像,右键加密分区输入密码进行解密

1.使用取证大师工具集中的虚拟磁盘挂载工具(需要离线授权才能开启)

1

2.选择镜像文件,挂载类型选择磁盘,以模拟写模式进行挂载

2

此时会出现一个没有空间的盘符

3

3.在vc中点击选择设备,找到刚才的盘符,点击确定

4

5

4.点击加载,在右下角的加载选项中勾选以只读模式加载加密卷和以非预启动验证方式加载使用系统加密处理的分区

6

手动输入找到的密码和PIM(可能为空)

5.挂载成功!

7

6.在火眼中加载刚才挂载的盘符

8

完成对C盘加密镜像的分析

9

7.也可以在虚拟磁盘挂在完成后使用EFDD对磁盘进行永久解密

10