【Windows取证篇】Windows镜像仿真绕过开机密码技巧

【Windows取证篇】Windows镜像仿真绕过开机密码技巧

在电子取证中，遇到的是镜像格式，首先就需要镜像仿真进入系统，还经常会遇到系统有密码的情况，这一步很多人会选择同型号的系统镜像来替换，但是，系统镜像动辄4、5个GB大小，下载速度慢、修改步骤复杂，此篇介绍设置光驱启动的方法，加载PE镜像工具破解Windows系列密码 —【蘇小沐】

（一）DD镜像仿真

1、实验数据

1）Windows Server （2008 R2）DD镜像；
2）VMware 16 pro虚拟机；
3）Windows 10操作系统；
4）老毛桃PE

2、镜像仿真教程：【电子取证：镜像仿真篇】DD、E01系统镜像动态仿真

（二）虚拟机设置光驱启动

大部分人会选择设置U盘启动进PE，但案件往往不是一次就可以完成的，经常需要数周或数月，但U盘一直插着也不方便，而且每次开关机驱动器盘符都可能会变动，就需要再次设置BIOS，特别麻烦。
这里提供一个小技巧，那就是将包含密码破解的PE工具，制作成“ISO”镜像，开机直接进PE绕过密码，不用再每次开关机都进BIOS设置一遍。

1、虚拟机添加PE工具ISO镜像

路径：编辑虚拟机设置->添加->CD/DVD(SATA)->使用ISO映像文件（M）；
虚拟机设置选择“使用ISO映像文件（M）”，加载制作好的PE工具。

2、进BIOS设置“光驱”启动

由于U盘启动不是很方便，对于经常要分析的镜像，设置光驱启动后，就不用每次都再进BIOS设置了。

（1）手速要快

手速一定要快，不然很容易就跳过了BIOS直接进入到操作系统；
左手按键盘，右手摸鼠标，鼠标点击的一刻，不断点击键盘F2键（其他快捷键可能为ESC、F8、F10、F12等）。

（2）设置光驱启动

路径：“BIOS”->“Boot”->“CD-ROM Driver”->上移首位;

设置完成后，F10保存设置，重启虚拟机进入系统。

(3）密码绕过

如果是服务器镜像，则密码清除这个操作不建议，它是通过修改路径：“\Windows\SYSTEM32\CONFIG”下的sam文件，容易导致服务器的数据库出现权限问题报错，后续修改起来还是比较麻烦的，所以服务器镜像优先选择绕过密码！

（4）自动重启进入系统

点击密码绕过之后会自动进入下面界面进行密码破解，成功后自动重启进入操作系统。（如果没有自动重启，而是还一直卡在该界面，则说明选择的密码绕过模式不对，没有破解密码成功，需重新选择其它项密码绕过。）

自动重启进入操作系统；(有时候会出现“Windows错误恢复”，选择正常启动Windows即可)。接着后点击虚拟机上方按钮将快捷键“CTRL+ALT+DELETE”发送到虚拟机，进入用户桌面。

再点击需要登录的用户，（可能提示输入密码，直接Enter键）即可进入操作系统桌面。

总结

注意看镜像系统类型，再结合实际需求来选择密码绕过、密码修改、或密码移除。

书写片面，纯粹做个记录，有错漏之处欢迎指正。

【著作所有权归作者 [蘇小沐] 所有，转载请注明文章出处】

本文转自 https://mp.weixin.qq.com/s/HtP7dGVNAKAaLSoktcDwxA，如有侵权，请联系删除。