http://www.forensicfocus.com/downloads/virtual-machines-forensics-analysis.pdfVMイメージ本体ファイル「vmdk」→DDファイル変換はFTK Imagerで。 メモリ内容格納ファイル vmem は Volatilityで。
http://www.forensicfocus.com/downloads/virtual-machines-forensics-analysis.pdf