VMware挂载共享文件夹vmware-host\Shared Folders中E01
背景
拿到一个****银狐病毒的 E01 取证镜像,需要搭建仿真环境进行查杀分析。镜像存放在宿主机 E 盘,虚拟机也装在 E 盘——而 E 盘剩余空间已经不够了,如果按常规流程把镜像拷贝进虚拟机再挂载,空间根本放不下。
**于是想到一个思路:**把镜像放在 VMware 共享文件夹中,只占用一份空间,然后在虚拟机中用 Arsenal Image Mounter 以只读方式挂载,再在虚拟机里安装 360 杀毒、火绒及相关专杀工具,直接对挂载出来的虚拟磁盘进行查杀。
**但在操作过程中遇到了一个问题:**管理员进程下看不到映射的 Z: 盘,最终通过 UNC 路径成功解决。
操作步骤
1. 虚拟机网络设置
将虚拟机网络适配器设置为****仅主机模式。
2. 开启共享文件夹
在 VMware 中启用共享文件夹,将宿主机上的 E01 镜像共享给虚拟机。
共享路径:
\\vmware-host\Shared Folders\vm共享文件夹\xinfudu\YMTC PC005 512GB.e01
3. 使用 Arsenal Image Mounter 挂载
在 Arsenal Image Mounter 中****手动输入 UNC 路径进行挂载:
\\vmware-host\Shared Folders\vm共享文件夹\xinfudu\YMTC PC005 512GB.e01
注意:不要通过 Browse 按钮浏览 Z: 盘查找文件,管理员进程下 Z: 盘不可见(原因见后文)。
挂载成功的原因:
- UNC 路径绕开了 Z: 盘的 UAC 映射隔离问题——管理员进程看不到标准用户的网络映射盘,但 HGFS 的 UNC 命名空间对所有会话可见
- **选择 **Read-Only / 写入临时磁盘设备(差异文件在外部) 模式,HGFS 对只读顺序访问 + E01 元数据加载可以正常工作,不要求完整随机块写入
- E01 挂载为虚拟磁盘后出现盘符,360 杀毒即可自定义扫描该盘
注意事项
- 原镜像绝对安全——只要没选 "Write to original image",Arsenal 使用差异/临时文件,宿主机共享中的 E01 不会被修改
- 扫描前确认盘符联机——打开「磁盘管理」→ 找到新磁盘 → 右键「联机」→ 分配盘符(如 G:)
- 差异文件存放位置——若 Arsenal 弹出差异文件保存位置选择,指定到虚拟机本地路径(如
C:\temp\),不要放共享文件夹(HGFS 可能拒写) - 用完后及时 Unmount——在 Arsenal 界面选中挂载项 → Unmount,释放虚拟 SCSI 设备
原理:为什么手输 UNC 路径能挂载,但 Browse 对话框找不到 Z: 盘?
Z: 盘在标准用户令牌下映射,管理员进程看不到
VMware 共享文件夹映射为网络驱动器 Z:(Z: = \\vmware-host\Shared Folders\...)是在**当前登录用户(非提升权限)**下创建的。
而 Arsenal Image Mounter / FTK Imager / OSFMount 这类工具****必须以管理员身份运行,此时启动的是提升后的管理员令牌(elevated token)。
Windows 默认****不会把标准用户映射的网络驱动器透传给管理员进程:
| 场景 | 令牌类型 | 能否看到 Z: | | --------------------------------------- | -------------- | ------------------ | | 资源管理器(双击"此电脑") | 标准用户 | 可以 | | 管理员运行的 Arsenal / FTK Imager | 提升进程 | 不可见 |
这就是 Browse 对话框中看不到 Z 盘的原因。
UNC 路径为何可用
\\vmware-host\Shared Folders 是 VMware Tools HGFS 驱动提供的 UNC 命名空间,走内核级 HGFS 重定向,不依赖网络映射驱动器,对所有会话(含提升的管理员进程)均可访问。
| 方式 | 流程 | 结果 |
|---|---|---|
| 手输 UNC 路径 | 管理员进程 → 解析 HGFS UNC → 找到 E01 → 挂载 | 成功 |
| Browse 浏览 Z: | 管理员进程 → 无 Z: 映射 → 看不到文件 | 失败 |