【镜像仿真篇】DD、E01系统镜像仿真教程
本文介绍了如何使用FTK Imager和VMware工具对DD、E01等系统镜像进行仿真,以便查看镜像中的数据。首先,通过FTK Imager的“可写”模式将镜像挂载为本地驱动器,需特别注意选择“Block Device/Writable”选项以确保镜像可以被正确仿真。接着,利用VMware创建一个新的虚拟机,并在创建过程中指定之前挂载的镜像作为操作系统来源。在配置虚拟机时,需要关注固件类型(BIOS或UEFI)、处理器与内存分配以及磁盘类型(推荐SATA)。文章还列举了常见的错误示例及解决方法,如固件类型选择不当导致无法启动等问题。最后提醒读者,如果遇到问题可能是因为FTK Imager版本不兼容,建议尝试使用低版本软件。
【镜像仿真篇】Arsenal Image Mounter镜像挂载利器
【镜像仿真篇】Arsenal Image Mounter镜像挂载利器 Arsenal Image Mounter是一款非常优秀的磁盘挂载工具,在Microsoft Windows中可以将磁盘映像的内容作为“真实磁盘”挂载到系统中—【蘇小沐】 1、Arsenal Image Mounter简介 Ars
【镜像取证篇】VMware虚拟机配置文件取证
本文介绍了VMware虚拟机配置文件的取证方法,重点关注了.log、.vmdk和.vmem三个关键文件。在测试环境中使用了VMware Workstation 16 Pro和Windows 11专业版。文章详细说明了不同状态下的虚拟机文件,如挂起状态时的.vmem和.vmss文件,以及快照相关的.vmsd和.vmsn文件。此外,还涵盖了硬件配置文件.vmx、附加配置文件.vmxf、BIOS状态信息.nvram及锁定文件.lck等。通过对这些文件的分析,可以获取虚拟机的运行日志、磁盘数据、内存信息等重要资料。文章旨在提供基础原理的学习,并强调自动化取证的重要性。
【Windows取证篇】Windows镜像仿真绕过开机密码技巧
本文介绍了在电子取证过程中,如何通过设置光驱启动加载PE镜像工具来绕过Windows系统的开机密码。首先,使用DD镜像仿真技术将目标系统镜像加载到虚拟机中。接着,通过添加包含密码破解工具的ISO镜像文件,并在BIOS中设置光驱为首选启动项,从而实现直接进入PE环境绕过密码。该方法避免了频繁修改BIOS设置及U盘插拔带来的不便,特别适用于需要长期分析的案件。对于服务器镜像,建议优先选择绕过而非清除密码以防止潜在的数据权限问题。最后提醒根据实际需求选择合适的密码处理方式。
【FTK Imager篇】FTK Imager制作镜像详细教程
【FTK Imager篇】FTK Imager制作镜像详细教程 以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番—【蘇小沐】 1、选择源证据类型 【路径:文件(F)->创建磁盘映像(C)->选择源->物理驱动器

