RANFS伪造磁盘驱动器装置措施

　　在被镜像取证的Windows零星上，下载RANFS伪造磁盘驱动器民间版并运行，RFSD是跨平台的件操作效率，经由该效率可实现读取Windows硬盘数据。

　　下载解压后，请规画员权限运rfsd.exe，会泛起操作台窗体，此被镜像取证零星上的豫备作实现。

　　在要镜像取证的Windows零星上，装置RFDK，RFDK是伪造磁盘驱动器，可能把短途硬盘伪造为当地磁盘。

　　下载到当地解压，执install.bat期待装置实现，此豫备作实现。

　　更多的辅助装置包的：rfdk-cn.pdf

RANFS伪造磁盘驱动器运用措施

　　挂载磁盘

　　在Windows上运rfdk-dbg，在输栏输下的命令后回。

　　mount rfp://192.168.63.130/dev/disk0

　　测试的Windows零星ip为：192.168.63.130，需要读取的硬盘为：/dev/disk0

　　留意：这的/dev/disk0便是.PhysicalDrive0，只是为便于输，以此类推：/dev/disk1便是.PhysicalDrive1

　　而后就能使winhex等工具，掀开.PhysicalDrive2

　　挂载内存

　　输命令： mount rfp://192.168.63.130/dev/pmem

　　测试的Windows零星ip为：192.168.63.130， /dev/pmem 为DevicePhysicalMemory的又名，代表物理内存。

　　注：读取物理内存需要加载驱动，请应承RFSD加载驱动，否则可能会返回超时过错。

　　而后就能使winhex等工具，掀开.PhysicalDrive3。

　　留意：请确保收集个别，及RFSD个别运，假如收集断了或者RFSD颇为封锁，伪造磁盘将动消逝。

RANFS伪造磁盘驱动器更新日志

　　一、修复上个版本的bug

　　二、优化部份功能