.png)
镜像仿真
未读
【镜像取证篇】仿真碎片-记一次镜像仿真失败的复盘过程
本文记录了一次使用FTK Imager进行镜像仿真的过程,实验中使用的系统为Windows 10专业版和VMware Workstation 16 Pro。在尝试挂载并仿真一个430GB的机械硬盘(确认为Win7系统)时,遇到了无法正常进入系统的困难。尽管能够看到Windows启动界面,但总是显示错误信息。通过多次尝试修复未果后,最终将磁盘类型从SATA改为IDE,成功解决了问题,使得系统能够正常启动。整个过程强调了选择正确的磁盘类型对于镜像仿真成功的重要性,并提醒读者在遇到类似问题时可以考虑调整磁盘类型作为解决方案之一。文章最后提供了相关软件的下载链接以供参考。
镜像取证
未读
【镜像取证篇】FTK Imager制作镜像详细教程
本文详细介绍了使用FTK Imager创建磁盘镜像的全过程,特别以DD镜像制作为例。首先选择源证据类型,包括物理驱动器、逻辑驱动器、映像文件等。接着选定需要制作镜像的具体磁盘,如文中使用的30GB SanDisk U盘。然后选择镜像格式(推荐E01,示例中为DD),填写案件信息(非必填),设置镜像参数,包括存储位置和分卷大小(默认1500MB,不分卷填0)。此外,还可以选择是否加密镜像,并设置验证选项来确保镜像的完整性。最后,完成镜像制作后会生成详细的记录文本,包含设备信息、散列值以及镜像段列表等。文章还提供了资源下载链接以便读者获取相关软件。
镜像仿真
未读
【镜像取证篇】DD、E01系统镜像动态仿真
本文介绍了如何手动对DD、E01系统镜像进行动态仿真,以便在没有自动化取证软件的情况下查看镜像中的数据。文章首先概述了实验环境,包括使用FTK Imager (v4.5.0.3) 和 VMware Workstation 15 Pro (v15.5.2) 工具。接着详细讲解了通过FTK Imager以“可写”模式挂载镜像到本地驱动器的过程,并强调了选择“Block Device/Writable”的重要性。随后,文章指导读者如何利用VMware创建新的虚拟机来仿真挂载的镜像,包括选择正确的操作系统、固件类型(BIOS或UEFI)、处理器和内存配置等步骤。最后,作者提醒了一些常见错误及注意事项,如根据分区类型正确选择固件类型等,以确保能够成功启动并访问镜像内容。
镜像取证
未读
【镜像取证篇】常见镜像文件类型
本文总结了常见的镜像文件类型及其后缀名,包括AFF、RAW(.dd, .001, .raw, .bin)、DMG、EWF(.e01, .ex01)、GHO、IMG、ISO、L01、S01和WHX等。这些镜像文件格式在电子取证领域中被广泛应用,每种格式都有其特定的用途和特点。文章还提供了多个相关主题的文章链接,供读者深入了解不同类型的镜像文件及它们在实际操作中的应用。此内容由作者[蘇小沐]整理提供,旨在为读者提供一个快速参考指南。
镜像取证
未读
【镜像取证篇】FTK Imager中文设置教程
本文介绍了如何将FTK Imager这款镜像取证工具的界面切换为中文。由于该软件默认不支持语言切换,作者提供了一种通过修改Windows注册表来实现中文化的方法。具体步骤包括:创建一个新的文本文件,在其中写入特定的注册表编辑代码,将文件后缀改为.reg并双击运行以应用更改。如果需要切换回英文界面,只需在注册表项中将“CHS”(简体中文)改为“ENU”(英语),再次运行即可。文章还简单介绍了HKEY_CURRENT_USER路径下注册表键值的作用,并提供了资源下载链接。
镜像取证
未读
【镜像仿真篇】Arsenal Image Mounter镜像挂载利器
Arsenal Image Mounter是一款强大的磁盘挂载工具,能够在Windows系统中将磁盘映像作为“真实磁盘”挂载。它支持启动虚拟机、管理BitLocker加密卷等功能。用户可以从其官方网站下载该软件,并且需要在Microsoft .Net Framework 4.0环境下运行。安装后,用户可以通过选择镜像文件并设置只读或写入临时磁盘设备模式来挂载磁盘。成功挂载后,可在磁盘管理器中查看已挂载的磁盘信息。此外,Arsenal Image Mounter还允许用户轻松更改已挂载磁盘的模式,无需重新挂载,提供了极大的便利性。总的来说,它是Windows平台上一个免费且高效的磁盘挂载解决方案。
镜像仿真
未读
【镜像仿真篇】ESXi镜像仿真教程
本文介绍了ESXi镜像仿真的详细教程,包括实验环境配置、vSphere版本介绍以及核心组件ESXi和vCenter Server的功能。作者尝试使用多种工具挂载ESXi镜像,但最终发现只有FTK Imager v3.1.1.8能够成功挂载并进行仿真。通过查看挂载后的"BOOT.CFG"文件,可以确定ESXi的具体版本,进而选择合适的系统版本进行仿真。在虚拟机设置中,采用典型配置安装,并将挂载的磁盘作为物理硬盘添加到虚拟机中,最终成功进入ESXi系统界面。文章最后强调了系统仿真的复杂性和挑战性,同时提供了相关资源下载链接。
镜像仿真
未读
【镜像仿真篇】WindowsServer服务器镜像仿真
本文介绍了如何使用qemu-img工具将raw、qcow2等格式的镜像转换为vmdk文件,以及在VMware Workstation 16 Pro中创建并配置Windows Server虚拟机的过程。首先通过qemu-img命令行工具进行镜像格式转换,然后详细讲述了在VMware中新建虚拟机时需要注意的关键步骤,包括选择BIOS作为固件类型、IDE作为磁盘类型,并强调了选择正确的操作系统版本和磁盘类型的重要性。此外,还提到了添加额外硬盘的方法及遇到“Windows错误恢复”时的处理建议。最后提醒读者在操作过程中注意数据安全,推荐使用备份文件进行实验。
镜像仿真
未读
【镜像取证篇】GHO系统镜像仿真还原教程
本文详细介绍了使用GHO系统镜像在虚拟机中进行仿真还原的过程。首先,在实验环境中使用了Windows Server 2012的GHO系统镜像、VMware Workstation 17 Pro及Windows 11专业工作站版。接着,通过快速创建虚拟机,并添加集成GHOST软件的PE工具(如微PE),设置虚拟硬盘大小以适应镜像需求。然后,文章讨论了几种镜像还原方法:共享文件夹、直接拷入虚拟机以及外接USB硬盘接入虚拟机等,并分析了各自的优缺点。最后,重点介绍了通过外接硬盘连接到虚拟机内进行镜像还原的具体步骤,包括格式化磁盘、选择还原位置和执行还原操作等。总结部分强调了GHO系统在电子取证中的局限性及其适用场景。
镜像取证
未读
【镜像取证篇】DD和E01镜像格式区别(简)
本文介绍了DD和E01两种镜像格式的区别及其特点。实验环境为Windows 11专业工作站版,使用FTK Imager 4.7.1.2对NTFS格式的2GB空盘进行镜像制作。DD镜像是一种原始镜像,采用位对位复制,文件大小与源盘一致,优点是兼容性强、制作速度快,但没有压缩,占用空间大。E01镜像是EnCase的一种证据文件格式,支持压缩,一般比源盘小,国内外取证软件普遍支持。在对比两者大小时发现,当数据为空盘且未设置压缩级别时,E01镜像可能不比DD镜像小;但在设置高压缩级别(如9)后,E01镜像显著减小。文章最后提供了相关软件的下载链接。
