【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真
【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真
理想滚烫,人生再无星河!—【suy】
文章目录
- 【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真
- 一、DD、E01系统镜像动态仿真
- (一)使用到的软件
- 1、FTK Imager (v4.5.0.3)
- 2、VMware Workstation 15 Pro (v15.5.2)
- (二)FTK Imager 挂载镜像
- 1、选择 Imager Mounting
- 2、选择系统镜像挂载
- *"注意一"!!!
- (三)VMware新建虚拟机
- 1、新建虚拟机
- 2、固件类型
- *"注意二"!!!
- 3、处理器、内存及其它配置
- 4、磁盘类型选择“SATA”
- *"注意三"!!!
- 5、本地磁盘
- *"注意四"!!!
- 6、完成创建虚拟机
- 7、打开虚拟机
- 8、错误示范
- *"注意五"!!!
- 结尾
一、DD、E01系统镜像动态仿真
在电子取证分析过程中,我们经常遇到DD、E01等系统镜像,然而,并非所有工作者手边都有自动化取证软件,我们如何利用手上的资源,将镜像给仿真起来查看里面的数据?
本文以E01镜像为例(DD镜像相同),我们来通过简单的操作进行手动仿真,让镜像数据活起来!
(一)使用到的软件
1、FTK Imager (v4.5.0.3)
FTK Imager “可写”模式挂载系统镜像为本地驱动器。
FTK Imager官网链接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。
2、VMware Workstation 15 Pro (v15.5.2)
VM新建虚拟机仿真系统镜像。 VM官网链接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。
(二)FTK Imager 挂载镜像
主要使用FTK Imager“可写”模式,挂载系统镜像到本地驱动器!
1、选择 Imager Mounting
路径:文件->Imager Mounting;
2、选择系统镜像挂载
1)选择需要挂载的镜像文件;
2)选择"Block Device/Writable";
3)点击"Mount";
4)记住"驱动器号";
*“注意一”!!!
1)特别强调第2步!一定要选择“可写”模式,否则镜像无法仿真起来!
2)mount成功后,会在本地磁盘显示出新的分区,可以打开Windows资源管理器查看,以及默认在镜像位置新生成一个后缀为“.adcf”的镜像同名文件,用来存放可写模式下镜像被修改的数据。
镜像挂载前后对比!
挂载成功后,默认在镜像的位置下生成一个后缀为".adcf"的同镜像名文件,用来存放镜像虚拟写入的文件。
(三)VMware新建虚拟机
1、新建虚拟机
1)新建虚拟机:
创建新的虚拟机->“自定义(高级)”->下一步,虚拟机硬件兼容性默认即可!
2)稍后安装操作系统:
后面会用到FTK Imager挂载起来的镜像”
3)选择对应的镜像系统
4)虚拟机保存位置
选择对应操作系统;填写虚拟机名称、虚拟机保存的位置,默认保存在C盘,建议自定义保存在其它容量大的分区里面。
如果不清楚镜像类型
1)看 FTK Imager 挂载起来的分区,在“驱动器”里面可以看到“分区”的文件系统类型,根据文件判断该挂载的镜像就为“Windows”;
2)磁盘管理里面查看;
2、固件类型
*“注意二”!!!
这个很重要!选择错误,系统将无法正确启动。
Windows配置方面,旧系统统一般选择BIOS,现在多数电脑都是UEFI,具体看挂载起来的系统镜像。
3、处理器、内存及其它配置
有条件的建议配置高一些,方便运行虚拟机。处理器和内存分配太小了会卡,有时候镜像数据量大还不一定能运行起来。
4、磁盘类型选择“SATA”
*“注意三”!!!
磁盘类型一样看所选镜像,这里测试了选择“SATA、SCSI”一般都可以启动成功,选“NVMe”不行,猜测镜像文件非NVMe固态硬盘所做。
5、本地磁盘
*“注意四”!!!
选择“使用物理磁盘”,通常第一次选择,点击下一步会请求以管理员权限运行,需要允许!然后设备选择前面 FTK Imager 挂载起来的对应驱动器号,磁盘默认选择使用整个磁盘即可。
6、完成创建虚拟机
到这里直接下一步即可完成虚拟机的创建了。整体上需要注意的几个点,细心就行了。
7、打开虚拟机
前面操作没问题的话,系统镜像就正常被启动起来了。
8、错误示范
*“注意五”!!!
看分区类型,如果显示EFI,固件类型只能选择“UEFI”,不能选择“BIOS”!!!否则出现以下报错,而且无法进入系统!!!
引导选择错误后,选择忽略,还是无法进入系统!
结尾
常出错的几个点都列出来了,在这里还是多说几句,经过测试发现 FTK Imager 新版本在挂载镜像的时候不是很稳定,程序容易崩掉!如发现系统仿真不起来,建议更换FTK Imager低版本的再试下,这是最快速的方法。
太久不动,写的比较啰嗦,有不对的地方欢迎指正,谢谢大家!后续会陆续分享一些电子取证方面的知识点。
| 名称 | 时间 |
|---|---|
| 最后编辑日期: | 2020 年 10 月 26 日 |
【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真相关推荐
- 【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真
DD.E01系统镜像动态仿真 理想滚烫,人生再无星河!-[suy999] 文章目录 DD.E01系统镜像动态仿真 一.DD.E01系统镜像动态仿真 (一)使用到的软件 1.FTK Imager ( ...
- 【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证
[电子取证:镜像仿真篇]Linux镜像仿真.E01镜像取证 主要是Linux镜像仿真(DD.E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的"磁盘占用& ...
- 云服务器系统镜像选什么,云服务器系统镜像选什么用
云服务器系统镜像选什么用 内容精选 换一换 欢迎使用镜像服务(Image Management Service,IMS).镜像是用于创建服务器或磁盘的模板,镜像服务提供镜像生命周期管理能力.可以通过服 ...
- 海康服务器装ISO系统,iso镜像,手把手教你iso系统镜像文件怎么安装
现在在网上下载的系统,无论是XP系统还是win7系统,下载的文件都是ISO格式的.ISO格式即光盘文件,可以直接将ISO文件记录到光盘里面进行安装系统.那么这样的ISO文件是不是要记录到光盘里面才能安 ...
- 云服务器系统镜像选什么,云服务器系统镜像选什么
云服务器系统镜像选什么 内容精选 换一换 本指南以Windows操作系统为例,指导您通过云服务器创建Windows系统盘镜像. 使用已有的云服务器备份制作整机镜像,可用于将云服务器备份创建为新的弹性云 ...
- centos7定制linux镜像,自定制Centos7.3系统镜像(ISO)
本文主要介绍如何根据官方的Centos镜像文件,在保留原有默认安装的RPM包的基础下,添加自己所需要的RPM包的,最终生成一个自定制版的ISO,节省了宝贵的时间并确保了安装的定制性.对于其他没有介绍的 ...
- 对计算机进行重镜像错误,Windows 10 使用系统镜像恢复系统出现内部错误?
您好! 我在对计算机进行重镜像的时候遇到内部错误,STATUS_WAIT_2(0x80070002) . 我的操作流程是: Windows 设置 -> 升级和安全 -> 恢复 -> ...
- 学计算机的什么是镜像,系统镜像文件是什么 什么叫系统镜像文件
相信大家在阅读系统安装教程时经常会看到"系统镜像文件"这个词,那么系统镜像文件是什么意思呢?有许多用户,特别是刚接触电脑的新手不知道什么叫系统镜像文件,所以接下来就跟大家讲解系统镜 ...
- 使用再生龙制作linux系统镜像及还原
因为要便于生产的原因,需要制作母盘,这做一个记录 使用再生龙制作linux系统镜像 使用再生龙还原系统镜像 tuxboot-0.6.exe
最新文章
- python安装requests
- 【CyberSecurityLearning 36】靶场环境搭建(ubuntu系统安装优化及vulhub安装)
- [蓝桥杯2016初赛]密码脱落
- 详解IMU标定经典论文:A Robust and Easy to Implement Method for IMU Calibration without External Equipments
- pcl里面的3D特征
- 看不懂旷视升级,是因为不知道中国AI正在经历的变革
- cesium画飞线_基于Cesium绘制抛物弧线
- android mvvm_Android MVVM设计模式
- 大数据分析平台有哪些功能
- MySql常用函数汇总
- 【定时任务】cron表达式在线生成器怎么用?
- 学生管理系统测试用例
- Drupal7导入语言包
- shell 分割文本_shell教程(2):积木游戏之认识积木--重要的系统命令
- canvas绘制星空
- 获取本电脑外网IP和内网IP
- Threejs实现模拟河流,水面水流,水管水流,海面
- 关于influxdb的measurement(表)
- 彭八百大师馆藏珍品IP系列数字藏品火爆发售
- 求100以内的素数并输出(详细讲解)