.png)
Windows取证
未读
【镜像取证篇】GHO系统镜像仿真还原教程
本文详细介绍了使用GHO系统镜像进行仿真还原的全过程。实验环境基于Windows Server 2012的GHO系统镜像、VMware Workstation 17 Pro以及Windows 11专业工作站版。首先,通过快速创建虚拟机并设置典型配置,然后添加集成GHOST软件的PE工具,进入PE环境后使用DiskGenius格式化磁盘。文章还讨论了几种镜像还原的方法,包括设置共享文件夹、将镜像拷入虚拟机和外接硬盘接入虚拟机等,并推荐了外接硬盘的方式。最后,通过实际操作演示了如何将GHO系统镜像还原到虚拟机中,并成功启动系统。文章强调GHO系统不适用于电子取证,但可用于镜像封装以保护隐私数据。
Windows取证
未读
【镜像仿真篇】WindowsServer服务器镜像仿真
本文介绍了使用qemu-img工具将raw、qcow2等格式的镜像转换为vmdk文件,并通过VMware Workstation创建Windows Server虚拟机的过程。首先,利用qemu-img命令进行镜像格式转换,确保转换过程中选择正确的参数以显示进度和指定格式。接着,在VMware中新建虚拟机时,需注意选择合适的固件类型(推荐BIOS)、磁盘类型(推荐IDE)及其它硬件配置。文章特别强调了在选择现有磁盘时,会对原始镜像数据造成修改,因此建议使用备份进行操作。此外,还提到了一些常见的错误示范及其解决方法,提醒用户在遇到启动问题时检查操作系统版本和磁盘类型的正确性。
Windows取证
未读
【镜像取证篇】DD系统镜像仿真问题的一些补充说明
【镜像取证篇】DD系统镜像仿真问题的一些补充说明 系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳—【蘇小沐】 实验环境 Windows建议用专业版,功能全。
【镜像取证篇】VMware虚拟机配置文件取证
本文介绍了VMware虚拟机配置文件的取证方法,重点关注了.log、.vmdk和.vmem三个关键文件。在测试环境中使用了VMware Workstation 16 Pro和Windows 11专业版。文章详细说明了不同状态下的虚拟机文件,如挂起状态时的.vmem和.vmss文件,以及快照相关的.vmsd和.vmsn文件。此外,还涵盖了硬件配置文件.vmx、附加配置文件.vmxf、BIOS状态信息.nvram及锁定文件.lck等。通过对这些文件的分析,可以获取虚拟机的运行日志、磁盘数据、内存信息等重要资料。文章旨在提供基础原理的学习,并强调自动化取证的重要性。
Windows取证
未读
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?
本文详细介绍了镜像取证中常见的两种镜像格式——DD镜像和E01镜像,并对比了它们的优缺点及哈希值差异。实验环境包括Windows 11、AccessData FTK Imager和X-Ways Forensics等工具。通过FTK Imager制作U盘的DD镜像和E01镜像,发现DD镜像文件的哈希值与源盘一致,而E01镜像则不同。这是因为E01镜像包含额外的元数据和压缩选项,导致其哈希值不同于源盘。文章还建议在长时间运行的监控视频硬盘上使用DD镜像,而在短时间运行的视频监控中使用E01镜像以节省存储空间。最后,作者强调了哈希值不一致时应首先检查源盘哈希值的重要性。
【加解密篇】利用NTFS数据流(ADS)隐写加密取证分析
本文介绍了如何利用NTFS数据流(ADS)进行隐写加密以及取证分析的方法。在NTFS文件系统中,可以通过创建额外的数据流来隐藏信息,这些数据流不会被常规的文件管理器发现。文章详细描述了使用CMD命令、X-Ways Forensics、NTFSStreamsEditor和FTK Imager等工具来创建和检测这些隐藏的数据流。实验环境包括Windows 11专业工作站版及多个取证软件。通过具体的命令示例和截图,展示了如何将文本、图片等文件隐藏到宿主文件或文件夹中,并提供了多种方法来检测和查看这些隐藏文件。此外,还讨论了将ADS文件移动到非NTFS分区可能带来的数据丢失风险。
Windows取证
未读
【文件权限篇】利用回收站解除文件权限问题
本文介绍了在遇到文件因权限问题无法打开时的一种解决方法,即通过将文件拖入回收站再还原来解除文件权限限制。文章首先列举了三种常见的文件打不开的情况:图像文件显示不支持格式、Word或PDF等办公文件提示错误、压缩包拒绝访问等。接着提出了两种优先尝试的解决方案:一是将文件复制到其他盘或电脑查看是否能正常打开;二是直接将文件拖入回收站再进行还原操作(建议先备份)。此外,还简要说明了如何调整回收站容量大小以适应不同需求,并强调了重要数据定期备份的重要性。最后指出,此方法特别适用于OneDrive网盘文件和移动硬盘文件在系统重装后出现的权限问题。
Windows取证
未读
【Hash篇】HashTab一款可扩展资源管理器的哈希校验软件
【Hash篇】HashTab一款可扩展资源管理器的哈希校验软件 HashTab是一款非常优秀的Windows资源管理器扩展程序,它在资源管理器的属性窗口中添加了"文件校验"的标签,可以非常方便地校验文件的CRC32、MD5、SHA1等校验值,另外还可以迅速与其他文件进行哈希值比对!—【蘇小沐】 1、
