VMDK（VMWare Virtual Machine Disk Format）是虚拟机VMware创建的虚拟硬盘格式，文件存在于VMware文件系统中，被称为VMFS（虚拟机文件系统）

关于VMDK格式:

一个VMDK文件代表VMFS在虚拟机上的一个物理硬盘驱动。所有用户数据和有关虚拟服务器的配置信息都存储在VMDK文件中。

通常而言，VMDK文件容易比较大，所以，2TB大小的文件都不足为奇。正因为如此，他们被描述为“大的、块级I/O模式”。任何用户数据变化或虚拟服务器配置变化，VMDK文件都要更新。由于VMDK没有增量类型数据获取功能，任何对文件的更改意味着整个文件需要重新备份。

VMDK文件的使用：

1vmware workstation里创建new virtual machine，到disk这一步时，选use an existing virtual disk，然后在下一屏Existing disk file浏览到你下载的这个.vmdk就可以使用了。

2.WinMount支持挂载 VMDK 磁盘文件到一个虚拟磁盘，可以很方便地读取、修改、添加、删除磁盘内容，并保存修改到原始VMDK文件中。WinMount支持将虚拟机硬盘镜像VHD(VirtualPC)、VDI(Virtual Box)、VMDK(VMWare)挂载为虚拟磁盘，并提供只读和可写两种打开方式。

为了使用VMware更强大的功能，VMDK容器一般需要存放在共享存储上。在主机硬盘上不大可能会找到VMDK容器。

要找到相应的VMDK的位置，可以使用vSphere内嵌的“Maps”标签页

该Maps视图显示了虚拟机和对应的包含该虚拟机VMDK容器的存储介质之间的关系。

我们既然已经知道了VMDK容器的位置，我们需要创建一个运行虚拟机的快照。创建一个快照从字面上理解就是将虚拟机的父磁盘冻结。当创建一个快照时，一个新的子磁盘会被创建同时所有的写操作都会转到该子磁盘中，这样父磁盘就处于一个静止的状态。另外，父磁盘(*flat.vmdk)本质上是一个物理磁盘的抽象，因此，他相当于（以dd或者原始格式）进行逐位复制。简而概之，在取证的时候我们总是想要逐位复制，因为这可以提供已分配和未分配的磁盘空间。如果是传统的对物理硬盘的文件拷贝，那只会提供已分配的磁盘空间，如此一来你就不能恢复那些已经删除的文件。