STATEMENT
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。
雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
NO.1 概况
分子实验室 https://molecule-labs.com/
OSFMount允许将Windows中的本地磁盘镜像文件(整个磁盘或磁盘分区的逐位拷贝)作为物理磁盘或逻辑驱动器号挂载。然后,您可以使用PassMark OSForensics™来分析磁盘映像文件,方法是使用PassMark OSForensics™指定物理磁盘名称(例如,.PhysicalDrive1)或逻辑驱动器号(例如:Z:)。
默认情况下,映像文件被挂载为只读,因此原始映像文件不会被更改。
OSFMount支持在“写缓存”模式下以读写方式挂载磁盘镜像文件。它将所有的写操作存储到一个“写缓存”(或“增量”)文件中,该文件保存了原始磁盘映像文件的完整性。
OSFMount还支持创建RAM磁盘,基本上就是挂载到RAM中的磁盘。这通常比使用硬盘有很大的速度优势。因此,这对于需要高速磁盘访问的应用程序非常有用,比如数据库应用程序、游戏(如游戏缓存文件)和浏览器(缓存文件)。第二个好处是安全性,因为磁盘内容不是存储在物理硬盘上(而是存储在RAM中),并且在系统关闭时,磁盘内容不是持久的。在撰写本文时,我们相信这是目前最快的RAM驱动软件。
OSFMount支持以.iso格式挂载CD的映像,当经常使用特定的CD并且访问速度很重要时这很有用。
NO.2 特性
支持的高级取证格式的版本是AFFv3与zlib压缩支持。不支持加密和签名。
NO.3 下载
官方下载地址:
https://www.osforensics.com/tools/mount-disk-images.html
NO.4 运行环境
Win 7 SP1, Win 8, Win 10
Windows Server 2008, 2012 (Windows Server 2016有问题)
64位支持(对于32位支持,请使用OSFMount v2)
用户必须具有管理员权限。
RAM: 1GB(挂载大磁盘映像时,RAM越多越好)
硬盘空间:15mb可用硬盘空间用于安装文件。
NO.5 支持镜像
· 原始RAM镜像如dd
· CD镜像如iso
Ø 这里尝试E01镜像,注意耐心等待镜像制作完成(测试中发现存在后台延迟完成,前端显示完成情况),并且使用OSFMount挂载打开。(20200415验证发现当镜像制作中断或因磁盘空间不足导致中断都将,导致E01镜像无法挂载,并且E01的镜像是分很多小块保存的,测试中使用accessData FTK Imager无法挂载,但是OSFMount挂载成功)
NO.6 使用
使用OSFMount挂载镜像
点击mount now
选择镜像挂载
这里选择选择readonly
点击mount即可
RECRUITMENT
招聘启事
END
长按识别二维码关注我们
本文始发于微信公众号(雷神众测):OSFMount磁盘挂载工具归档
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论