.png)
镜像取证
未读
【镜像仿真篇】Arsenal Image Mounter镜像挂载利器
【镜像仿真篇】Arsenal Image Mounter镜像挂载利器 Arsenal Image Mounter是一款非常优秀的磁盘挂载工具,在Microsoft Windows中可以将磁盘映像的内容作为“真实磁盘”挂载到系统中—【蘇小沐】 1、Arsenal Image Mounter简介 Ars
镜像取证
未读
【镜像取证篇】DD和E01镜像格式区别(简)
本文介绍了DD和E01两种镜像格式的区别及其特点。实验环境为Windows 11专业工作站版,使用FTK Imager 4.7.1.2对NTFS格式的2GB空盘进行镜像制作。DD镜像是一种原始镜像,采用位对位复制,文件大小与源盘一致,优点是兼容性强、制作速度快,但没有压缩,占用空间大。E01镜像是EnCase的一种证据文件格式,支持压缩,一般比源盘小,国内外取证软件普遍支持。在对比两者大小时发现,当数据为空盘且未设置压缩级别时,E01镜像可能不比DD镜像小;但在设置高压缩级别(如9)后,E01镜像显著减小。文章最后提供了相关软件的下载链接。
镜像取证
未读
【镜像取证篇】常见镜像文件类型
镜像取证
未读
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希?
【镜像取证篇】听说你还分不清镜像的源盘哈希和镜像文件的哈希? 听说你还分不清镜像的源盘哈希和镜像文件的哈希?镜像的两层防护,镜像的源盘哈希、镜像文件的哈希傻傻分不清—【蘇小沐】
镜像仿真
未读
【镜像取证篇】仿真碎片-记一次镜像仿真失败的复盘过程
本文记录了一次使用FTK Imager进行镜像仿真的过程,实验中使用的系统为Windows 10专业版和VMware Workstation 16 Pro。在尝试挂载并仿真一个430GB的机械硬盘(确认为Win7系统)时,遇到了无法正常进入系统的困难。尽管能够看到Windows启动界面,但总是显示错误信息。通过多次尝试修复未果后,最终将磁盘类型从SATA改为IDE,成功解决了问题,使得系统能够正常启动。整个过程强调了选择正确的磁盘类型对于镜像仿真成功的重要性,并提醒读者在遇到类似问题时可以考虑调整磁盘类型作为解决方案之一。文章最后提供了相关软件的下载链接以供参考。
镜像取证
未读
【镜像取证篇】VMware虚拟机配置文件取证
