アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

VHD差分ディスクのマウント

Windows 7 の XP Mode はデフォルトで、差分ディスクとしてユーザ用の VHD ディスクが下記パス上に作成されます。

ユーザー用の差分ディスク(デフォルト)
C:\Users\ユーザー名\AppData\Local\Microsoft\Windows Virtual PC\仮想マシン\Windows XP Mode.vhd
親のVHDディスク
C:\Program Files\Windows XP Mode\Windows XP Mode base.vhd

差分ディスクなので、差分ディスクをそのまま EnCase 上で Add Device かドラッグ&ドロップしても単なるバイナリディスクとしか認識しません。差分ディスクと、親の仮想ディスク(この場合には Windows XP Mode base.vhd )を事前に結合してからでないと中身を解析できないかなぁと考えていましたが、親の VHD ディスクが、差分 VHD ディスクと同じフォルダ内にある状態でマウントすればちゃんとマウントされました。
XP Mode の場合には、Windows XP Mode base.vhd とユーザーの Windows XP Mode.vhd が同じフォルダ内にある場合に、ユーザーの差分ディスクである Windows XP Mode.vhd ファイルを EnCase でマウントすればファイルシステムがパースされて表示されます。
差分ディスクの場合には、差分ディスク内に親の仮想ディスクのファイル名やフルパスが含まれているので、差分ディスクが親を確認するのと同様に、そこから情報を得ているということではないかと予測していますが、HELP には特にこの辺りの動作についての詳細な記述はないようですね。
とはいえ、わざわざ親と差分の VHD ディスクを結合しなくてもマウントできるというのは便利ですが、差分ディスクが複数の親子関係として設定されている場合にどうなるのかなどは未テストです。