Mount Image Pro是一款用于在 Windows 系统下挂载取证镜像或物理设备的工具,可在合规取证环境中对已挂载的驱动器进行检查。
Mount Image Pro 主要供计算机取证检验员、调查人员和律师使用,以便于在只读环境中快速访问物理磁盘或法证镜像的内容,无需依赖高端取证软件。Mount Image Pro 通常用于:
- 使用熟悉程序(如 Windows 资源管理器)快速浏览已挂载驱动器内容;
- 在已挂载驱动器上运行第三方程序,包括:
o 病毒扫描器、间谍软件、木马和恶意软件工具。o 隐写分析工具。o 关键词索引工具。o 数据恢复程序。o 其他需要访问磁盘的取证程序。
Mount Image Pro 支持的镜像格式
Mount Image Pro 支持挂载以下文件格式:
- Access Data .AD1;
- Apple DMG;
- EnCase .E01、Ex01、.L01、Lx01;
- 取证文件格式 .AFF;
ISO(CD 和 DVD 镜像);
- Microsoft VHD;
- NUIX MFS01;
- ProDiscover;
- SMART;
- Unix/Linux DD 和 RAW 镜像;
- VMWare;
- Xways 容器文件
Mount Image Pro 软件功能
Mount Image Pro 的功能包括:
- 以只读方式挂载或模拟磁盘写入。
- 将物理驱动器挂载到 Windows 磁盘管理中。
- 从命令行挂载。
- 挂载由 EnCase® 和 FTK 创建的 Logical Evidence Files(LEF)。
- 支持挂载 NTFS、FAT、FAT16、FAT32、HFS、APFS 文件系统。
- 兼容第三方文件系统驱动器,如 HPFS、Linux EXT2/3/4。
- 支持物理镜像和逻辑镜像。
- 通过网络从中央服务器挂载镜像。
- 创建 DOS 批处理文件以挂载多个镜像。
- 显示或隐藏已删除文件。
- 无需 Windows 安全权限即可挂载文件。
- 挂载 RAID 设备。
Mount Image Pro 支持的挂载方式
Mount Image Pro 支持不同的挂载方式:
- 磁盘(可选择启用或禁用即插即用功能);
- 文件系统
下表概括了这些挂载类型之间的差异:
|----------------------------------------|--------|----------|
| 挂载类型 | 磁盘 | 文件系统 |
| 应用现有 Windows 安全设置 | 是 | 否 |
| 26 取证镜像限制(可用驱动器盘符) | 是 | 否 |
| 访问整个物理驱动器(使用第三方工具) | 是 | 否 |
| 磁盘显示在 Windows 磁盘管理中 (* 若使用即插即用选项) | 是 | 否 |
| 显示已删除文件 | 否 | 是 |
| 将未分配簇显示为文件 | 否 | 是 |
| 显示 Windows 系统文件 (MFT、FAT、VBR 等) | 否 | 是 |
磁盘挂载模式
磁盘模式用于挂载取证镜像,并将镜像显示为物理磁盘及/或分区形式,就像将物理驱动器连接到了本地计算机一样。
启用即插即用功能的磁盘模式可模拟将物理 USB 磁盘连接到计算机,并将该磁盘添加到 Windows 磁盘管理中。当调查人员需要将物理磁盘或分区作为 Windows 管理的驱动器进行访问时,需要使用即插即用模式。
磁盘模式支持的取证镜像类型
磁盘挂载模式支持以下取证镜像和设备:
- 物理磁盘的取证镜像
- 逻辑磁盘的取证镜像
- 物理设备(如已连接的硬盘)
- 逻辑取证镜像文件(.AD1, .L01)
BITLOCKER 驱动器
Mount Image Pro v7 支持挂载 BitLocker 加密分区。
文件系统挂载模式
文件系统挂载选项用于:
• 覆盖 Windows 安全权限;
• 挂载 Windows 无法识别的文件系统(例如 APFS);
• 绕过 Windows 文件夹管理机制(如符号链接、硬链接等);
• 将多个已挂载的镜像文件归类到同一文件夹下;
• 控制是否显示 Windows 系统文件;
• 控制是否显示已删除文件。
注意: 文件系统以只读模式挂载(即无法从已挂载的 Windows 文件系统中删除项目)。
文件系统挂载模式支持的取证镜像类型
- 物理磁盘的取证镜像
- 逻辑磁盘的取证镜像
- 物理设备(如已连接的硬盘)
- 逻辑取证镜像文件(.ad1, .l01)
挂载非 Windows 文件系统------ MAC HFS/APFS
在 Windows 计算机上挂载 MAC 驱动器可采用两种不同方法:
- 文件系统:使用 Mount Image Pro 自带的 HFS 驱动程序(推荐);
- 磁盘:在取证工作站安装第三方文件系统驱动程序。
使用 MIP 驱动程序挂载 MAC 文件系统
通过 Mount Image Pro MAC HFS 文件系统驱动程序挂载的步骤:
- 在挂载选项窗口中选择文件系统;
- MAC 分区将在"MIP文件系统磁盘"下显示,如下图所示:
通过 Windows 资源管理器查看MAC文件:
使用第三方文件系统驱动程序挂载 MAC 磁盘
使用第三方文件系统驱动程序挂载并显示文件的步骤:
- 确保已安装并运行第三方 MAC 驱动程序;
- 在挂载选项窗口中选择磁盘(不启用即插即用);
第三方驱动程序将自动检测并显示 MAC 文件系统:
挂载 DD 取证镜像
图形界面或命令行界面支持挂载单个 RAW 或 DD 取证镜像。通过图形界面或命令行界面,还可挂载使用扩展名 .001、.002、.003 等结尾的分段 RAW 或 DD 取证镜像。
使用描述文件挂载分段 DD 镜像
若分段镜像文件未使用.001、.002、.003等标准扩展名,请按以下步骤操作:
- 创建描述文件
描述文件是一个文本文件,其中列出了构成完整镜像集的所有原始取证镜像文件。描述文件应始终使用".RAW"作为扩展名(即使它是文本文件)。文本文件内容是按顺序排列的、构成整个镜像的各个文件名列表。
- 如何创建描述文件
描述文件是一种纯文本文件,仅用于列出取证镜像名称。允许使用空行和前导/尾随空格,以#开头的行将被视为注释行忽略。允许使用回车符和换行符的任意组合作为换行分隔符。
描述文件中的相对路径首先从当前目录解析,然后从描述文件所在位置解析。
如果所描述的取证镜像大小不是512的倍数,文件的容量将向下舍入为512的倍数,超出部分不会被使用。例如,若文件大小为5200字节,则会被视为5120字节的文件。
描述文件示例:
# 这是注释行
image01.dat
image02.dat
image03.dat该文件应保存为"descriptor-file.raw",可保存在驱动器的任意位置。请确保文件中包含指向镜像分段的正确路径。随后运行 Mount Image Pro 并选择该描述文件进行挂载。
挂载 RAID 阵列
可通过以下方式构建 RAID 并添加到 Mount Image Pro 中:
- 物理磁盘(注:使用物理磁盘时,建议使用硬件写保护设备以保持取证完整性);
- 取证镜像;
- 或物理磁盘与取证镜像的组合
向案例中添加 RAID 驱动器
- 点击添加设备到当前案例的按钮。
- 在设备选择窗口中,点击按钮打开 RAID 配置窗口。
添加已知配置的硬件 RAID:
输入RAID配置信息,并按指示添加并测试RAID:
添加未知配置的硬件 RAID:
若不清楚硬件RAID驱动器的参数,Mount Image Pro将尝试自动识别RAID配置方式。操作如下:
- 将RAID类型设置为"硬件";
- 按正确顺序添加驱动器(或取证镜像);若正确顺序未知,则按认为最可能的顺序添加;
- 点击"查找布局"按钮获取建议配置。每个已添加驱动器旁显示绿色勾选标记即表示建议配置。
重要提示:
建议配置是基于从驱动器中获取的信息而生成的。但由于 RAID 结构的复杂性,相同的返回结果可能对应了多种可能的配置。应将镜像添加到案例中测试建议配置,以确定是否能访问和预览单个文件。
若"查找布局"未返回建议配置,或建议配置未能成功恢复数据:
若"查找布局"按钮未为每个添加的驱动器显示绿色勾选标记,或基于建议配置的继续恢复未生效,请尝试以下操作:
- 点击"可能解决方案"选项卡查看针对该RAID的建议配置;
- 按建议更改"条带大小"、RAID选项和驱动器顺序;
- 点击"测试布局"按钮测试修改后的配置;
- 将RAID驱动器添加到案例中。
添加软件 RAID:
若为软件 RAID:
- 将RAID"类型"设置为"软件"。
- 点击Validate确认有效的软件 RAID。有效的软件 RAID 将在已添加驱动器(或取证镜像)上显示绿色勾选标记:
确定正确RAID布局后
确定正确的 RAID 布局后,点击"确定"将配置好的RAID驱动器添加到设备选择窗口。
选择该 RAID 驱动器并点击"确定",将其添加到案例中。
添加 RAID 驱动器后,请选择并预览单个文件,以确保 RAID 驱动器配置正确且已成功访问 RAID 中的所有文件。
挂载远程网络设备
Mount Image Pro 支持通过网络使用 UDP 协议挂载远程设备。
挂载网络设备的步骤:
- 在远程计算机上运行 GetDataNetworkServer.exe(此文件位于 Mount Image Pro 安装文件夹内)。将显示以下界面:
- 服务器将进入"空闲"模式,等待来自 Mount Image Pro 的连接。
注意:可能需要在远程计算机上配置防火墙设置,以允许远程访问 GetData UDP 网络服务器。
3.在设备选择窗口中,点击"远程"按钮,打开"远程服务器连接设置"窗口:
服务器 IP 地址:
输入远程计算机的 IP 地址(该地址显示在 GetData UDP 网络服务器的"服务器 IP"字段中)。
端口:
确保端口号与 GetData UDP 网络服务器使用的端口一致。
4.点击"连接"按钮,查看远程计算机上可用的物理和逻辑设备。选择所需设备并点击"确定"。所选设备现在应出现在设备选择窗口的"网络设备"部分,如下所示:
5.选中该网络设备,然后点击"挂载"按钮。