Windows取证
未读
【镜像取证篇】DD和E01镜像格式区别(简)
本文简要介绍了DD和E01两种镜像格式的区别及其在电子数据取证中的应用。实验环境基于Windows 11专业工作站版、FTK Imager 4.7.1.2等工具。DD镜像是一种原始格式(RAW Image),对数据进行位对位复制,与源盘大小一致,兼容性强但不压缩,导致存储需求高。E01镜像由EnCase定义,支持压缩,通常比源盘小,通过设置不同的压缩级别可以显著减少文件大小。对于空盘或非空盘的数据情况,E01镜像在适当压缩级别下能够有效节省存储空间。文章还提供了相关软件下载链接。
Windows取证
未读
【镜像取证篇】GHO系统镜像仿真还原教程
本文详细介绍了使用GHO系统镜像进行仿真还原的全过程。实验环境基于Windows Server 2012的GHO系统镜像、VMware Workstation 17 Pro以及Windows 11专业工作站版。首先,通过快速创建虚拟机并设置典型配置,然后添加集成GHOST软件的PE工具,进入PE环境后使用DiskGenius格式化磁盘。文章还讨论了几种镜像还原的方法,包括设置共享文件夹、将镜像拷入虚拟机和外接硬盘接入虚拟机等,并推荐了外接硬盘的方式。最后,通过实际操作演示了如何将GHO系统镜像还原到虚拟机中,并成功启动系统。文章强调GHO系统不适用于电子取证,但可用于镜像封装以保护隐私数据。
Windows取证
未读
【镜像仿真篇】WindowsServer服务器镜像仿真
本文介绍了使用qemu-img工具将raw、qcow2等格式的镜像转换为vmdk文件,并通过VMware Workstation创建Windows Server虚拟机的过程。首先,利用qemu-img命令进行镜像格式转换,确保转换过程中选择正确的参数以显示进度和指定格式。接着,在VMware中新建虚拟机时,需注意选择合适的固件类型(推荐BIOS)、磁盘类型(推荐IDE)及其它硬件配置。文章特别强调了在选择现有磁盘时,会对原始镜像数据造成修改,因此建议使用备份进行操作。此外,还提到了一些常见的错误示范及其解决方法,提醒用户在遇到启动问题时检查操作系统版本和磁盘类型的正确性。
Windows取证
未读
【镜像取证篇】DD系统镜像仿真问题的一些补充说明
【镜像取证篇】DD系统镜像仿真问题的一些补充说明 系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳—【蘇小沐】 实验环境 Windows建议用专业版,功能全。
【镜像取证篇】VMware虚拟机配置文件取证
本文介绍了VMware虚拟机配置文件的取证方法,重点关注了.log、.vmdk和.vmem三个关键文件。在测试环境中使用了VMware Workstation 16 Pro和Windows 11专业版。文章详细说明了不同状态下的虚拟机文件,如挂起状态时的.vmem和.vmss文件,以及快照相关的.vmsd和.vmsn文件。此外,还涵盖了硬件配置文件.vmx、附加配置文件.vmxf、BIOS状态信息.nvram及锁定文件.lck等。通过对这些文件的分析,可以获取虚拟机的运行日志、磁盘数据、内存信息等重要资料。文章旨在提供基础原理的学习,并强调自动化取证的重要性。
Windows取证
未读
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?
本文详细介绍了镜像取证中常见的两种镜像格式——DD镜像和E01镜像,并对比了它们的优缺点及哈希值差异。实验环境包括Windows 11、AccessData FTK Imager和X-Ways Forensics等工具。通过FTK Imager制作U盘的DD镜像和E01镜像,发现DD镜像文件的哈希值与源盘一致,而E01镜像则不同。这是因为E01镜像包含额外的元数据和压缩选项,导致其哈希值不同于源盘。文章还建议在长时间运行的监控视频硬盘上使用DD镜像,而在短时间运行的视频监控中使用E01镜像以节省存储空间。最后,作者强调了哈希值不一致时应首先检查源盘哈希值的重要性。
【加解密篇】利用NTFS数据流(ADS)隐写加密取证分析
本文介绍了如何利用NTFS数据流(ADS)进行隐写加密以及取证分析的方法。在NTFS文件系统中,可以通过创建额外的数据流来隐藏信息,这些数据流不会被常规的文件管理器发现。文章详细描述了使用CMD命令、X-Ways Forensics、NTFSStreamsEditor和FTK Imager等工具来创建和检测这些隐藏的数据流。实验环境包括Windows 11专业工作站版及多个取证软件。通过具体的命令示例和截图,展示了如何将文本、图片等文件隐藏到宿主文件或文件夹中,并提供了多种方法来检测和查看这些隐藏文件。此外,还讨论了将ADS文件移动到非NTFS分区可能带来的数据丢失风险。
Windows取证
未读
【文件权限篇】利用回收站解除文件权限问题
本文介绍了在遇到文件因权限问题无法打开时的一种解决方法,即通过将文件拖入回收站再还原来解除文件权限限制。文章首先列举了三种常见的文件打不开的情况:图像文件显示不支持格式、Word或PDF等办公文件提示错误、压缩包拒绝访问等。接着提出了两种优先尝试的解决方案:一是将文件复制到其他盘或电脑查看是否能正常打开;二是直接将文件拖入回收站再进行还原操作(建议先备份)。此外,还简要说明了如何调整回收站容量大小以适应不同需求,并强调了重要数据定期备份的重要性。最后指出,此方法特别适用于OneDrive网盘文件和移动硬盘文件在系统重装后出现的权限问题。

