.png)
镜像取证
未读
【镜像取证篇】DD和E01镜像格式区别(简)
本文介绍了DD和E01两种镜像格式的区别及其特点。实验环境为Windows 11专业工作站版,使用FTK Imager 4.7.1.2对NTFS格式的2GB空盘进行镜像制作。DD镜像是一种原始镜像,采用位对位复制,文件大小与源盘一致,优点是兼容性强、制作速度快,但没有压缩,占用空间大。E01镜像是EnCase的一种证据文件格式,支持压缩,一般比源盘小,国内外取证软件普遍支持。在对比两者大小时发现,当数据为空盘且未设置压缩级别时,E01镜像可能不比DD镜像小;但在设置高压缩级别(如9)后,E01镜像显著减小。文章最后提供了相关软件的下载链接。
镜像仿真
未读
【镜像仿真篇】DD、E01系统镜像仿真教程
本文介绍了如何使用FTK Imager和VMware手动仿真DD、E01等系统镜像以查看其中的数据。首先,通过FTK Imager的“可写”模式将镜像挂载为本地驱动器,确保选择"Block Device/Writable"选项,并记住挂载后的驱动器号。接着,在VMware中新建虚拟机,根据挂载镜像的具体情况(如文件系统类型、固件类型)进行配置。创建过程中需注意处理器、内存分配以及磁盘类型的选择。完成设置后,即可启动虚拟机并访问镜像数据。文章还提供了错误示范及解决方法,强调了版本兼容性问题,并分享了相关软件下载链接。
镜像仿真
未读
【镜像仿真篇】Linux镜像仿真、E01镜像取证
本文介绍了Linux镜像(包括DD和E01格式)的仿真过程,特别强调了在虚拟磁盘中挂载镜像时可能遇到的“磁盘占用”问题。首先使用FTK Imager以“可写”模式挂载镜像,并确保其真实挂载到本地磁盘。接着,在VMware中创建新的虚拟机,选择合适的客户端镜像系统(如Ubuntu)、磁盘类型(SATA或SCSI),并指定使用物理磁盘,即FTK Imager挂载的驱动器号。文章提醒读者注意检查“磁盘管理”中的挂载情况,以避免因磁盘占用导致无法成功仿真。最后提供了相关软件下载链接。
