https://dfirdd.com蘇小沐电子取证Halo v2.23.2zh-cnhttps://dfirdd.com/upload/%E5%B0%81%E9%9D%A2%20DFIR.jpghttps://dfirdd.comTue, 7 Apr 2026 12:52:06 GMThttps://dfirdd.com/SXM/MacOS-Forensics/macqu-zheng-pian-macosqu-zheng-zhu-yi-shi-xiang今天看到群组小伙伴讨论这个，就想起来了多年前做的笔记，找了下没找到，已经不懂现在躺在那块硬盘里吃灰，算了，让它继续躺着吧，最近事情有点多，公众号都没时间更新……。本篇直接使用的Apple官方文档，针对"Mac文件保险箱"和"Mac时间机器"，以及自行外延了一点小知识做个小结科普，感兴趣的可以自行去A]]>/SXM/MacOS-Forensics/macqu-zheng-pian-macosqu-zheng-zhu-yi-shi-xiang蘇小沐MacOS取证Sat, 28 Mar 2026 02:53:37 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-dd-e01xi-tong-jing-xiang-fang-zhen-jiao-cheng【镜像仿真篇】DD、E01系统镜像仿真教程 理想滚烫，人生再无星河！ 在电子取证分析过程中，我们经常遇到DD、E01等系统镜像，然而，并非所有工作者手边都有自动化取证软件。我们如何利用手上的资源，将镜像给仿真起来查看里面的数据？本文以E01镜像为例（DD镜像相同），我们来通过简单的操作进行手动仿真，]]>/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-dd-e01xi-tong-jing-xiang-fang-zhen-jiao-cheng蘇小沐镜像仿真Windows取证Sat, 28 Mar 2026 02:51:51 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-linuxjing-xiang-fang-zhen-e01jing-xiang-qu-zheng【镜像仿真篇】Linux镜像仿真、E01镜像取证 主要是Linux镜像仿真（DD、E01仿真相同），还介绍了特别特殊的一个情况，就是在虚拟磁盘里的镜像再挂载本地，出现的“磁盘占用”，导致无法成功仿真的问题！—【蘇小沐】 前篇"]]>/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-linuxjing-xiang-fang-zhen-e01jing-xiang-qu-zheng蘇小沐Windows取证Sat, 28 Mar 2026 02:51:51 GMThttps://dfirdd.com/SXM/Windows-Forensics/dian-zi-qu-zheng-jing-xiang-fang-zhen-pian-dd-e01xi-tong-jing-xiang-dong-tai-fang-zhen在电子取证分析过程中，我们经常遇到DD、E01等系统镜像，然而，并非所有工作者手边都有自动化取证软件，我们如何利用手上的资源，将镜像给仿真起来查看里面的数据？ 本文以E01镜像为例（DD镜像相同），我们来通过简单的操作进行手动仿真，让镜像数据活起来！ 一、DD、E01系统镜像动态仿真 星河滚烫，人生]]>/SXM/Windows-Forensics/dian-zi-qu-zheng-jing-xiang-fang-zhen-pian-dd-e01xi-tong-jing-xiang-dong-tai-fang-zhen蘇小沐Windows取证Sat, 28 Mar 2026 02:51:51 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-arsenal-image-mounterjing-xiang-gua-zai-li-qi【镜像仿真篇】Arsenal Image Mounter镜像挂载利器 Arsenal Image Mounter是一款非常优秀的磁盘挂载工具，在Microsoft Windows中可以将磁盘映像的内容作为“真实磁盘”挂载到系统中—【蘇小沐】 1、Arsenal Image Mounter简介 Ars]]>/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-arsenal-image-mounterjing-xiang-gua-zai-li-qi蘇小沐镜像仿真Windows取证Sat, 28 Mar 2026 02:51:51 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-esxijing-xiang-fang-zhen-jiao-cheng【镜像仿真篇】ESXi镜像仿真教程 我以为不会再有使用FTK Imager低版本的时候，毕竟Arsenal Image Mounte是我目前遇到的最强镜像挂载软件，直到这次遇到了这个ESXi镜像仿真的时候一直报错-–【蘇小沐】 1、实验环境]]>/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-esxijing-xiang-fang-zhen-jiao-cheng蘇小沐Windows取证Sat, 28 Mar 2026 02:51:51 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-ddhe-e01jing-xiang-ge-shi-qu-bie-jian【镜像取证篇】DD和E01镜像格式区别（简） 简单总结下—【蘇小沐】 1、实验环境]]>/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-ddhe-e01jing-xiang-ge-shi-qu-bie-jian蘇小沐Windows取证Sat, 28 Mar 2026 02:51:50 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-ghoxi-tong-jing-xiang-fang-zhen-huan-yuan-jiao-cheng【镜像取证篇】GHO系统镜像仿真还原教程 简要记录下GHO系统镜像还原及系统仿真的过程—【蘇小沐】 1、实验环境]]>/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-ghoxi-tong-jing-xiang-fang-zhen-huan-yuan-jiao-cheng蘇小沐Windows取证Sat, 28 Mar 2026 02:51:50 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-ci-pan-jing-xiang-fang-zhen-chang-jian-cuo-wu【镜像仿真篇】磁盘镜像仿真常见错误 记系统镜像仿真常见错误集-–【蘇小沐】 1、实验环境]]>/SXM/Windows-Forensics/jing-xiang-fang-zhen-pian-ci-pan-jing-xiang-fang-zhen-chang-jian-cuo-wu蘇小沐镜像仿真Windows取证Sat, 28 Mar 2026 02:51:50 GMThttps://dfirdd.com/SXM/Windows-Forensics/44c65afa-4575-4603-9c24-ad13129acb4c## 【镜像仿真篇】WindowsServer服务器镜像仿真 介绍镜像转换、vmdk镜像仿真注意的一些事项---【蘇小沐】 （一）qemu-img镜像转换工具 ---------------- qemu-img(v2.3.0.0)镜像转换工具，对应有Windows和Linx版本，通过"命令"将raw]]>/SXM/Windows-Forensics/44c65afa-4575-4603-9c24-ad13129acb4c蘇小沐Windows取证Sat, 28 Mar 2026 02:51:49 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-ddxi-tong-jing-xiang-fang-zhen-wen-ti-de-yi-xie-bu-chong-shuo-ming【镜像取证篇】DD系统镜像仿真问题的一些补充说明 系统千千万，环境占一半，遇到问题建议多重新挂载镜像，多尝试，站在岸上永远学不会游泳—【蘇小沐】 实验环境 Windows建议用专业版，功能全。]]>/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-ddxi-tong-jing-xiang-fang-zhen-wen-ti-de-yi-xie-bu-chong-shuo-ming蘇小沐Windows取证Sat, 28 Mar 2026 02:51:49 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-fang-zhen-sui-pian-ji-yi-ci-jing-xiang-fang-zhen-shi-bai-de-fu-pan-guo-cheng【镜像取证篇】仿真碎片-记一次镜像仿真失败的复盘过程 这个是很久以前的一个镜像实验，当时仿真可以看到Windows的启动界面，但却一直无法正常进入系统，不断的尝试修复，都是显示错误，最后把类型改为IDE后，成功仿真进入系统—【蘇小沐】 1、无法仿真成功]]>/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-fang-zhen-sui-pian-ji-yi-ci-jing-xiang-fang-zhen-shi-bai-de-fu-pan-guo-cheng蘇小沐Windows取证Sat, 28 Mar 2026 02:51:48 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-vmwarexu-ni-ji-pei-zhi-wen-jian-qu-zheng【镜像取证篇】VMware虚拟机配置文件取证 虚拟机取证中，通常主要关注.log、.vmdk、.vmem三个文件，里面包含虚拟机的大部分资料信息—【蘇小沐】 1、测试环境]]>/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-vmwarexu-ni-ji-pei-zhi-wen-jian-qu-zheng蘇小沐镜像仿真Windows取证Sat, 28 Mar 2026 02:51:48 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-ting-shuo-ni-huan-fen-bu-qing-jing-xiang-de-yuan-pan-ha-xi-he-jing-xiang-wen-jian-de-ha-xi【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希？ 听说你还分不清镜像的源盘哈希和镜像文件的哈希？镜像的两层防护，镜像的源盘哈希、镜像文件的哈希傻傻分不清—【蘇小沐】 1、实验环境]]>/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-ting-shuo-ni-huan-fen-bu-qing-jing-xiang-de-yuan-pan-ha-xi-he-jing-xiang-wen-jian-de-ha-xi蘇小沐Windows取证Sat, 28 Mar 2026 02:51:48 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-chang-jian-jing-xiang-wen-jian-lei-xing【镜像取证篇】常见镜像文件类型 人生若都如镜像—【蘇小沐】 常见镜像文件类型]]>/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-chang-jian-jing-xiang-wen-jian-lei-xing蘇小沐Windows取证Sat, 28 Mar 2026 02:51:48 GMThttps://dfirdd.com/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-qemu-imgci-pan-jing-xiang-zhuan-huan-shen-qi【镜像取证篇】qemu-img磁盘镜像转换神器 转换磁盘镜像格式，便于仿真搭建–【蘇小沐】 （一）qemu-img：磁盘镜像格式转换工具 1、功能简介 qemu-]]>/SXM/Windows-Forensics/jing-xiang-qu-zheng-pian-qemu-imgci-pan-jing-xiang-zhuan-huan-shen-qi蘇小沐Windows取证Sat, 28 Mar 2026 02:51:47 GMThttps://dfirdd.com/SXM/Cyber-Forensics/jia-jie-mi-pian-passware-kit-forensicbao-li-mei-xue-yi-zhi-bu-fen-mi-ma-zi-ding-yi-jie-mi-xiang-xi-can-shu-she-zhi【加解密篇】Passware Kit Forensic暴力美学-已知部分密码自定义解密详细参数设置 都说"自制武器不一定是最强的，但最强的武器一定是自制的"，对于取证工具也是一样，虽然默认配置足够强，但如果我们能根据实时情景自定义参数配置，那么往往能事半功倍—【蘇小沐】]]>/SXM/Cyber-Forensics/jia-jie-mi-pian-passware-kit-forensicbao-li-mei-xue-yi-zhi-bu-fen-mi-ma-zi-ding-yi-jie-mi-xiang-xi-can-shu-she-zhi蘇小沐加解密取证Sat, 28 Mar 2026 02:29:44 GMThttps://dfirdd.com/SXM/jia-jie-mi-qu-zheng/707f6902-1ee5-45af-9920-41fd8a67d97d## 【加解密篇】Passware Encryption Analyzer快速检测加密文件软件 密码加密分析仪是一种免费工具，可扫描系统以检测受保护或加密的文件、存档和其他加密类型的文件---【蘇小沐】 ## （一）扫描对象 可全盘扫描或者自定义扫描驱动或文件夹等，并计算Hash值。 !\[Imag]]>/SXM/jia-jie-mi-qu-zheng/707f6902-1ee5-45af-9920-41fd8a67d97d蘇小沐加解密取证Sat, 28 Mar 2026 02:29:44 GMThttps://dfirdd.com/SXM/jia-jie-mi-qu-zheng/bb21490b-44d0-4048-8893-6d91087ec666## 【加解密篇】Passware Kit Forensic自定义解密类型教程 都说"自制武器不一定是最强的，但最强的武器一定是自制的"，对于取证工具也是一样，虽然默认配置足够强，但如果我们能根据实时情景自定义参数配置，那么往往能事半功倍---【蘇小沐】 Passware Kit Forensic是]]>/SXM/jia-jie-mi-qu-zheng/bb21490b-44d0-4048-8893-6d91087ec666蘇小沐加解密取证Sat, 28 Mar 2026 02:29:22 GMThttps://dfirdd.com/SXM/Cyber-Forensics/dian-zi-qu-zheng-pian-ha-xi-xiao-yan-zhi-de-bian-yu-bu-bian哈希值（散列值）是针对电子数据内容来计算的，内容变则哈希变；但计算对象的文件名、文件时间等属性改变不会影响散列值！！！-–【蘇小沐】 注意事项 文件名称改变：哈希值不会变 而同一份文件，只是被重命名了文件名称，那么哈希并不会改变！！！（说到这又得吐槽下微信转发文件的SB操作，每转发一次，自动复制一份]]>/SXM/Cyber-Forensics/dian-zi-qu-zheng-pian-ha-xi-xiao-yan-zhi-de-bian-yu-bu-bian蘇小沐加解密取证Sat, 28 Mar 2026 02:29:22 GMT