## 【Windows取证篇】Windows镜像仿真绕过开机密码技巧 在电子取证中,遇到的是镜像格式,首先就需要镜像仿真进入系统,还经常会遇到系统有密码的情况,这一步很多人会选择同型号的系统镜像来替换,但是,系统镜像动辄4、5个GB大小,下载速度慢、修改步骤复杂,此篇介绍设置光驱启动的方法,加载PE镜像工具破解Windows系列密码 ---【蘇小沐】 ## (一)DD镜像仿真 #### 1、实验数据 1)Windows Server (2008 R2)DD镜像; 2)VMware 16 pro虚拟机; 3)Windows 10操作系统; 4)老毛桃PE #### 2、镜像仿真教程:【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真 (二)虚拟机设置光驱启动 ----------- 大部分人会选择设置U盘启动进PE,但案件往往不是一次就可以完成的,经常需要数周或数月,但U盘一直插着也不方便,而且每次开关机驱动器盘符都可能会变动,就需要再次设置BIOS,特别麻烦。 这里提供一个小技巧,那就是将包含密码破解的PE工具,制作成"ISO"镜像,开机直接进PE绕过密码,不用再每次开关机都进BIOS设置一遍。 ### 1、虚拟机添加PE工具ISO镜像 路径:编辑虚拟机设置-\>添加-\>CD/DVD(SATA)-\>使用ISO映像文件(M); 虚拟机设置选择"使用ISO映像文件(M)",加载制作好的PE工具。 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzibgvLzoh6QulA5jGVZxrARhd7Q9Mn0emFlaPwxvaRY50EibrslzrBPk3QheXDebliaJaYVGsHK9DZQ/640?wx_fmt=png) ### 2、进BIOS设置"光驱"启动 由于U盘启动不是很方便,对于经常要分析的镜像,设置光驱启动后,就不用每次都再进BIOS设置了。 #### (1)手速要快 手速一定要快,不然很容易就跳过了BIOS直接进入到操作系统; 左手按键盘,右手摸鼠标,鼠标点击的一刻,不断点击键盘F2键(其他快捷键可能为ESC、F8、F10、F12等)。 #### (2)设置光驱启动 路径:"BIOS"-\>"Boot"-\>"CD-ROM Driver"-\>上移首位; 设置完成后,F10保存设置,重启虚拟机进入系统。 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzibgvLzoh6QulA5jGVZxrAR2oJs7y0I5wAsib9kgZxVDgClfyLD4j2AXibOicDVic64oF4ZDKRPWKia2YQ/640?wx_fmt=png) #### (3)密码绕过 如果是服务器镜像,则密码清除这个操作不建议,它是通过修改路径:"\\\\Windows\\\\SYSTEM32\\\\CONFIG"下的sam文件,容易导致服务器的数据库出现权限问题报错,后续修改起来还是比较麻烦的,所以服务器镜像优先选择绕过密码! !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzibgvLzoh6QulA5jGVZxrARQVoowL4Kpazuvt2ttxrfM6xVZCHlBqLEZt5VSibiaVmBiaTRJ40EYpl0g/640?wx_fmt=png) #### (4)自动重启进入系统 点击密码绕过之后会自动进入下面界面进行密码破解,成功后自动重启进入操作系统。(如果没有自动重启,而是还一直卡在该界面,则说明选择的密码绕过模式不对,没有破解密码成功,需重新选择其它项密码绕过。) !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzibgvLzoh6QulA5jGVZxrARibKbIvqiaiczic00gfFHGH9K9kMkxS2fOjJibTr1AC5Tgj4MqVRIXNcPwtA/640?wx_fmt=png) 自动重启进入操作系统;(有时候会出现"Windows错误恢复",选择正常启动Windows即可)。接着后点击虚拟机上方按钮将快捷键"CTRL+ALT+DELETE"发送到虚拟机,进入用户桌面。 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzibgvLzoh6QulA5jGVZxrARL2PkOVgaib76qZo43GpMGAcCxN4H6Sr8YniadTNWMbLQAFR3xu6h7M0A/640?wx_fmt=png) 再点击需要登录的用户,(可能提示输入密码,直接Enter键)即可进入操作系统桌面。 !\[Image\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNzibgvLzoh6QulA5jGVZxrARhfrDicY4RTxl473n3qAicZEAPj3dQPribg0f0IgoNib8LrIemblS7B0fxQ/640?wx_fmt=png) ### 总结 注意看镜像系统类型,再结合实际需求来选择密码绕过、密码修改、或密码移除。 书写片面,纯粹做个记录,有错漏之处欢迎指正。 【\*\*著作所有权归作者 \\\[蘇小沐\\\] 所有,转载请注明文章出处\*\*】 \| 记录 \| \| --- \| \| 最后编辑日期:2020 年 12 月 04 日 \| !\[Image\](https://mmbiz.qpic.cn/mmbiz/g0qdRkVkqNzibgvLzoh6QulA5jGVZxrARciaoCEvGr4uQ9cRCwRlmBtkAnkNZ3wyRKkLhYYUQoaTgSreLympAjrA/640?wx_fmt=bmp) 本文转自 ,如有侵权,请联系删除。
