http://www.forensicfocus.com/downloads/virtual-machines-forensics-analysis.pdf VMイメージ本体ファイル「vmdk」→DDファイル変換はFTK Imagerで。 メモリ内容格納ファイル vmem は Volatilityで。