【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真
DD、E01系统镜像动态仿真
理想滚烫,人生再无星河!—【suy999】
文章目录
- DD、E01系统镜像动态仿真
- 一、DD、E01系统镜像动态仿真
- (一)使用到的软件
- 1、FTK Imager (v4.5.0.3)
- 2、VMware Workstation 15 Pro (v15.5.2)
- (二)FTK Imager 挂载镜像
- 1、选择 Imager Mounting
- 2、选择系统镜像挂载
- *"注意一"!!!
- (三)VMware新建虚拟机
- 1、新建虚拟机
- 2、固件类型
- *"注意二"!!!
- 3、处理器、内存及其它配置
- 4、磁盘类型选择“SATA”
- *"注意三"!!!
- 5、本地磁盘
- *"注意四"!!!
- 6、完成创建虚拟机
- 7、打开虚拟机
- 8、错误示范
- *"注意五"!!!
- 结尾
一、DD、E01系统镜像动态仿真
在电子取证分析过程中,我们经常遇到DD、E01等系统镜像,然而,并非所有工作者手边都有自动化取证软件,我们如何利用手上的资源,将镜像给仿真起来查看里面的数据?
本文以E01镜像为例(DD镜像相同),我们来通过简单的操作进行手动仿真,让镜像数据活起来!
(一)使用到的软件
1、FTK Imager (v4.5.0.3)
FTK Imager “可写”模式挂载系统镜像为本地驱动器。FTK Imager官网链接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。
2、VMware Workstation 15 Pro (v15.5.2)
VM新建虚拟机仿真系统镜像。VM官网链接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。
(二)FTK Imager 挂载镜像
主要使用FTK Imager“可写”模式,挂载系统镜像到本地驱动器!
1、选择 Imager Mounting
路径:文件->Imager Mounting;
2、选择系统镜像挂载
1)选择需要挂载的镜像文件;2)选择"Block Device/Writable";3)点击"Mount";4)记住"驱动器号";
*“注意一”!!!
1)特别强调第2步!一定要选择“可写”模式,否则镜像无法仿真起来!2)mount成功后,会在本地磁盘显示出新的分区,可以打开Windows资源管理器查看,以及默认在镜像位置新生成一个后缀为“.adcf”的镜像同名文件,用来存放可写模式下镜像被修改的数据。
镜像挂载前后对比!
挂载成功后,默认在镜像的位置下生成一个后缀为".adcf"的同镜像名文件,用来存放镜像虚拟写入的文件。
(三)VMware新建虚拟机
1、新建虚拟机
1)新建虚拟机:创建新的虚拟机->“自定义(高级)”->下一步,虚拟机硬件兼容性默认即可!
2)稍后安装操作系统:后面会用到FTK Imager挂载起来的镜像”
3)选择对应的镜像系统
4)虚拟机保存位置
选择对应操作系统;填写虚拟机名称、虚拟机保存的位置,默认保存在C盘,建议自定义保存在其它容量大的分区里面。
如果不清楚镜像类型1、看 FTK Imager 挂载起来的分区,在“驱动器”里面可以看到“分区”的文件系统类型,根据文件判断该挂载的镜像就为“Windows”;2、磁盘管理里面看类型。
2、固件类型
*“注意二”!!!
这个很重要!选择错误,系统无法正确引导启动。Windows配置方面,旧系统统一般选择BIOS,现在多数电脑都是UEFI,具体看挂载起来的系统镜像。
3、处理器、内存及其它配置
有条件的建议配置高一些,方便运行虚拟机。处理器和内存分配太小了会卡,有时候镜像数据量大还不一定能运行起来。
4、磁盘类型选择“SATA”
*“注意三”!!!
磁盘类型一样看所选镜像,这里测试了选择“SATA、SCSI”都可以启动成功,选“NVMe”不行,猜测镜像文件非NVMe固态硬盘所做。
5、本地磁盘
*“注意四”!!!
选择“使用物理磁盘”,通常第一次选择,点击下一步会请求以管理员权限运行,需要允许!然后设备选择前面 FTK Imager 挂载起来的对应驱动器号,磁盘默认选择使用整个磁盘即可。
6、完成创建虚拟机
到这里直接下一步即可完成虚拟机的创建了。整体上需要注意的几个点,细心就行了。
7、打开虚拟机
前面操作没问题的话,系统镜像就正常被启动起来了。
8、错误示范
*“注意五”!!!
看分区类型,如果显示EFI,固件类型只能选择“UEFI”,不能选择“BIOS”!!!否则出现以下报错,而且无法进入系统!!!
引导选择错误后,选择忽略,还是无法进入系统!
结尾
在这里还是多说几句,经过测试发现 FTK Imager 新版本在挂载镜像的时候不是很稳定,程序容易崩掉!工作中发现v3版本的较稳定。
名称 | 时间 |
---|---|
最后编辑日期: | 2020 年 10 月 26 日 |
【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真相关推荐
- 【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真
[电子取证:镜像仿真篇]DD.E01系统镜像动态仿真 理想滚烫,人生再无星河!-[suy] 文章目录 [电子取证:镜像仿真篇]DD.E01系统镜像动态仿真 一.DD.E01系统镜像动态仿真 (一) ...
- 【FTK Imager篇】FTK Imager磁盘镜像的哈希报告翻译
[FTK Imager篇]FTK Imager磁盘镜像的哈希报告翻译 FTK Imager制作完镜像后,会生成镜像文件和哈希报告,来验证镜像文件的哈希值和驱动器哈希值在创建镜像后是否匹配,以用作基准来 ...
- 【FTK Imager篇】FTK Imager制作镜像详细介绍
FTK Imager制作镜像详细介绍 以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番-[suy] 文章目录 ...
- 【FTK Imager篇】FTK Imager中文设置教程
FTK Imager中文设置教程 FTK Imager一款功能强大的镜像取证工具,但默认是不支持语言切换功能的,对于大部分人,尤其是新入门的小伙伴来说,还是中文界面看着更得心应手些,下面提供一个简单的 ...
- 【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证
[电子取证:镜像仿真篇]Linux镜像仿真.E01镜像取证 主要是Linux镜像仿真(DD.E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的"磁盘占用& ...
- 【取证分析】Linux硬盘镜像获取与还原(dd、AccessData FTK Imager)
转载自https://www.cnblogs.com/17bdw/p/9094659.html 1.硬盘镜像获取工具:dd dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝 ...
- Linux硬盘镜像获取与还原(dd、AccessData FTK Imager)
1.硬盘镜像获取工具:dd dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换. 1.1 本地取数据 查看磁盘及分区 # fdisk - ...
- 【电子取证篇】声像资料鉴定仪器设备配置标准
[电子取证篇]声像资料鉴定仪器设备配置标准 声像资料鉴定分三大类:录音资料.图像资料.电子数据,交叉性复杂,录音和图像在于对电子取证的声像数据方面的细化,而电子取证目前仍偏向于数据存在性!以下是司法鉴 ...
- 【电子取证篇】中华人民共和国社会公共安全行业标准(GA/T)
[电子取证篇]中华人民共和国社会公共安全行业标准(GA/T) 电子取证相关的"中华人民共和国社会公共安全行业标准"-[suy] 文章目录 [电子取证篇]中华人民共和国社会公共安 ...
最新文章
- 注解能力ApplicationContext作为 IoC 容器示例
- 一些常用且实用的原生 JavaScript函数[转]
- 五、pink老师的学习笔记——CSS精灵技术(sprite)
- ios 自己创建的动态frameworks 怎么发布_苹果 iOS 14 修复 2 年来的一个bug 果粉炸锅:原来不是自己手残...
- python使用pandas和xlsxwriter读写xlsx文件
- python中文意思-请问在python中**是啥什么意思?
- 11.8 scrum report
- 微信小程序云开发打车系统实现附源码
- 自己写USB Joystick驱动
- Github Emoji——Github表情大全
- linux中giep命令作用,Linux查看硬件信息以及驱动设备的命令
- sun.misc.BASE64Encoder详解
- 线程安全(thread safe)是什么?
- 卓海科技冲刺创业板:拟募资5.47亿 相宇阳控制52.9%股权
- 长视频与短视频,其底层逻辑有何不同
- 2022年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项竞赛规程
- P4113 [HEOI2012]采花 【树状数组 AC】【莫队/主席树 TLE】
- Centos7制作openssh9.0rpm包与升级
- linux量产工具使用,33-Vstr开发板资料合集 开发工具 US升级和量产工具 LiveSuitV306_For_Linux64 LiveSuit_For_Linux64 RedMe...
- 海外服务器AS4837和AS4134S线路含义?怎么测试?