NoFS 逆向工程与恶意软件分析的磁盘映像环回工具
NoFS是一种基于用户空间的FUSE(Filesystem in Userspace)文件系统,为原始磁盘映像提供了环回功能,特别适合用于逆向操作系统的文件系统行为,并在一定程度上支持恶意软件分析。首次使用NoFS挂载DD磁盘映像时,伪文件系统将显示DD文件的精确副本,此DD映像可以用于VirtualBox等虚拟机中。当虚拟DD映像被VM内操作系统更新时,NoFS将不会将数据直接写入原始DD,而是创建额外的文件,包括:
-
新数据文件:其中包含按写入顺序记录的所有磁盘映像数据。
-
事件文件:存储来宾操作系统的写入指令偏移量,每个64位偏移量表示DD文件与新数据文件512字节块的对应位置。
-
索引文件:包含新数据文件的偏移量列表;如果512字节块与原始DD图像相同则为0xFFF。
用户评论
