星河滚烫,人生有理想! ​ ---【suy999】

DD、E01系统镜像动态仿真

一、DD、E01系统镜像动态仿真

    在电子取证分析过程中,我们经常遇到DD、E01等系统镜像,然而,并非所有工作者手边都有自动化取证软件,我们如何利用手上的资源,将镜像给仿真起来查看里面的数据?
    本文以E01镜像为例(DD镜像相同),我们来通过简单的操作进行手动仿真,让镜像数据活起来!

(一)使用到的软件

1、FTK Imager (v4.5.0.3)

    FTK Imager “可写”模式挂载系统镜像为本地驱动器。
    FTK Imager官网链接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。

2、VMware Workstation 15 Pro (v15.5.2)

    VM新建虚拟机仿真系统镜像。
    VM官网链接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。

(二)FTK Imager 挂载镜像

    主要使用FTK Imager“可写”模式,挂载系统镜像到本地驱动器!

1、选择 Imager Mounting

    路径:文件->Imager Mounting;

2、选择系统镜像挂载

    1)选择需要挂载的镜像文件;
    2)选择"Block Device/Writable";
    3)点击"Mount";
    4)记住"驱动器号";

*"注意一"!!!

    1)特别强调第2步!一定要选择“可写”模式,否则镜像无法仿真起来!
    2)mount成功后,会在本地磁盘显示出新的分区,可以打开Windows资源管理器查看,以及默认在镜像位置新生成一个后缀为“.adcf”的镜像同名文件,用来存放可写模式下镜像被修改的数据。

    镜像挂载前后对比!

	挂载成功后,默认在镜像的位置下生成一个后缀为".adcf"的同镜像名文件,用来存放镜像虚拟写入的文件。

(三)VMware新建虚拟机

1、新建虚拟机

1)新建虚拟机:

	创建新的虚拟机->“自定义(高级)”->下一步,虚拟机硬件兼容性默认即可!

2)稍后安装操作系统:

	后面会用到FTK Imager挂载起来的镜像”

3)选择对应的镜像系统

4)虚拟机保存位置

	选择对应操作系统;填写虚拟机名称、虚拟机保存的位置,默认保存在C盘,建议自定义保存在其它容量大的分区里面。

如果不清楚镜像类型

	1、看 FTK Imager 挂载起来的分区,在“驱动器”里面可以看到“分区”的文件系统类型,根据文件判断该挂载的镜像就为“Windows”;

	2、磁盘管理里面看类型。

2、固件类型

*"注意二"!!!

	这个很重要!选择错误,系统无法正确引导启动。

	Windows配置方面,旧系统统一般选择BIOS,现在多数电脑都是UEFI,具体看挂载起来的系统镜像。

3、处理器、内存及其它配置

	有条件的建议配置高一些,方便运行虚拟机。处理器和内存分配太小了会卡,有时候镜像数据量大还不一定能运行起来。

4、磁盘类型选择“SATA”

*"注意三"!!!

	磁盘类型一样看所选镜像,这里测试了选择“SATA、SCSI”都可以启动成功,选“NVMe”不行,猜测镜像文件非NVMe固态硬盘所做。

5、本地磁盘

*"注意四"!!!

	选择“使用物理磁盘”,通常第一次选择,点击下一步会请求以管理员权限运行,需要允许!然后设备选择前面 FTK Imager 挂载起来的对应驱动器号,磁盘默认选择使用整个磁盘即可。

6、完成创建虚拟机

	到这里直接下一步即可完成虚拟机的创建了。整体上需要注意的几个点,细心就行了。

7、打开虚拟机

	前面操作没问题的话,系统镜像就正常被启动起来了。

8、错误示范

*"注意五"!!!

	看分区类型,如果显示EFI,固件类型只能选择“UEFI”,不能选择“BIOS”!!!否则出现以下报错,而且无法进入系统!!!

	引导选择错误后,选择忽略,还是无法进入系统!

结尾

	在这里还是啰嗦几句,经过测试发现 FTK Imager 新版本在挂载镜像的时候不是很稳定,程序容易崩掉!工作中发现v3版本的稳定些。
名称 时间
最后编辑日期: 2020 年 10 月 26 日

【电子取证:FTK Imager篇】DD、E01系统镜像仿真的更多相关文章

  1. 【电子取证:FTK Imager篇】FTK Imager制作镜像详细介绍

    FTK Imager制作镜像详细介绍 以DD镜像制造为例,详细介绍了FTK Imager创建镜像的过程,记得大学的时候学习这些没什么教程,找到的资料也是语焉不详,故在此啰嗦一番---[suy] 一.磁 ...

  2. 【电子取证:镜像仿真篇】Windows Server镜像仿真、vmdk镜像仿真

    Windows Server镜像仿真.vmdk镜像仿真 时间过得真快呀!--[suy999] Windows Server镜像仿真.vmdk镜像仿真 一.qemu-img镜像转换工具 (一)raw.q ...

  3. Linux硬盘镜像获取与还原(dd、AccessData FTK Imager)

    1.硬盘镜像获取工具:dd dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换. 1.1 本地取数据 查看磁盘及分区 # fdisk - ...

  4. 转:电子取证中AVI文件的文件雕复

    电子取证中AVI文件的文件雕复 收藏本文 分享 1引言在电子取证工作中,恢复数字设备中被删除的数据是极为重要的工作之一,恢复数据又分依赖系统元信息的传统数据恢复技术和不依赖系统元信息的文件雕刻.文件雕 ...

  5. 【干货】从windows注册表读取重要信息-----这种技能非常重要,占电子取证的70%

    也就是说,当我拿着U盘启动盘,从你电脑里面拷贝了注册表的几个文件,大部分数据就已经到我手中了.一起来感受一下吧. 来源:Unit 6: Windows File Systems and Registr ...

  6. 02篇ELK日志系统——升级版集群之kibana和logstash的搭建整合

    [ 前言:01篇LK日志系统已经把es集群搭建好了,接下来02篇搭建kibana和logstash,并整合完成整个ELK日志系统的初步搭建. ] 1.安装kibana 3台服务器: 192.168.2 ...

  7. [转]Linux/Unix系统镜像/备份/恢复 (dd 命令使用)

    ref: http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=22561912&id=156879 开源系统默认安装了一个d ...

  8. dd,实现系统备份

    一.dd的使用 dd命令的解释dd:用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换. 注意:指定数字的地方若以下列字符结尾则乘以相应的数字:b=512:c=1:k=1024:w=2 参数: ...

  9. 转 Redis 总结精讲 看一篇成高手系统-4

    转 Redis 总结精讲 看一篇成高手系统-4 2018年05月31日 09:00:05 hjm4702192 阅读数:125633   本文围绕以下几点进行阐述 1.为什么使用redis 2.使用r ...

随机推荐

  1. 重新开始记录java教程

    最近在工作上学到了很多的知识和经验,以后每天都来记录给博客园上面

  2. 前后端分离Java后端主流开发环境框架20200622

    开发环境: IDE:IntelliJ IDEA 2017+ DB: mysql5.7.4.PostgreSQL.mongoDB.redis JDK:JDK1.8+ Maven:Maven 3.2.3+ ...

  3. 在Linux系统中安装Chrome浏览器

    前言:作为一个Web开发人员,经常与我们相伴的必然少不了浏览器,而Google旗下的chrome浏览器更是凭借着出色的性能.简洁的界面被广大开发者所喜爱,今天分享下如何在linux系统下安装chrom ...

  4. 活动可视化搭建系统——你的KPI被我承包了

    前言 对于C端业务偏多的公司来说,在增长.运营等各方同学的摧残下永远绕不过去的一个坑就是大量的H5页面开发,它可能是一个下载.需求告知.产品介绍.营销活动等页面.此类需求都有几个明显的缺点: •开发性 ...

  5. DateTimeFormatter接替SimpleDateFormat

    java程序猿经常会碰到的一个问题就是日期格式化.当接收参数中有日期或时间,那么就需要与前端商量好其格式,这边我知道是2种:1.时间戳 2.字符串. 先说一下时间戳,这个形势的参数,Java只需new ...

  6. 《Clojure编程》笔记 第2章 函数式编程

    目录 背景简述 第2章 函数式编程 背景简述 本人是一个自学一年Java的小菜鸡,理论上跟大多数新手的水平差不多,但我入职的新公司是要求转Clojure语言的.坊间传闻:通常情况下,最好是有一定Jav ...

  7. uniApp朋友圈(参考)

    介绍 功能:回复,点赞(笔芯),评论,图片(最多六张). 码云地址:https://gitee.com/sunliusen/friend 例:

  8. Java 解决Enum.valueOf找不到枚举出现的异常

    由于Enum.valueOf匹配不到枚举时会出现异常,这个可以用try...catch来解决,但是这样会导致代码往臃肿的道路上越走越远. 本文与其说是解决Enum.valueOf找不到枚举出现的异常还 ...

  9. C/C++四种取整函数floor,ceil,trunc,round

    处理浮点数操作常用到取整函数,C/C++提供了四种取整函数 floor函数 floor函数:向下取整函数,或称为向负无穷取整 double floor(double x); floor(-5.5) = ...

  10. 知识全聚集 .Net Core 技术突破 | 我用C#手把手教你玩微信自动化一

    知识全聚集 .Net Core 技术突破 | 我用C#手把手教你玩微信自动化一 教程 01 | 模块化方案一 02 | 模块化方案二 03 | 简单说说工作单元 其他教程预览 分库分表项目实战教程 G ...