星河滾燙,人生有理想! ---【suy999】
一、DD、E01系統鏡像動態仿真
在電子取證分析過程中,我們經常遇到DD、E01等系統鏡像,然而,並非所有工作者手邊都有自動化取證軟件,我們如何利用手上的資源,將鏡像給仿真起來查看里面的數據?
本文以E01鏡像為例(DD鏡像相同),我們來通過簡單的操作進行手動仿真,讓鏡像數據活起來!
(一)使用到的軟件
1、FTK Imager (v4.5.0.3)
FTK Imager “可寫”模式掛載系統鏡像為本地驅動器。
FTK Imager官網鏈接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。
2、VMware Workstation 15 Pro (v15.5.2)
VM新建虛擬機仿真系統鏡像。
VM官網鏈接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。
(二)FTK Imager 掛載鏡像
主要使用FTK Imager“可寫”模式,掛載系統鏡像到本地驅動器!
1、選擇 Imager Mounting
路徑:文件->Imager Mounting;
2、選擇系統鏡像掛載
1)選擇需要掛載的鏡像文件;
2)選擇"Block Device/Writable";
3)點擊"Mount";
4)記住"驅動器號";
*"注意一"!!!
1)特別強調第2步!一定要選擇“可寫”模式,否則鏡像無法仿真起來!
2)mount成功后,會在本地磁盤顯示出新的分區,可以打開Windows資源管理器查看,以及默認在鏡像位置新生成一個后綴為“.adcf”的鏡像同名文件,用來存放可寫模式下鏡像被修改的數據。
鏡像掛載前后對比!
掛載成功后,默認在鏡像的位置下生成一個后綴為".adcf"的同鏡像名文件,用來存放鏡像虛擬寫入的文件。
(三)VMware新建虛擬機
1、新建虛擬機
1)新建虛擬機: 創建新的虛擬機->“自定義(高級)”->下一步,虛擬機硬件兼容性默認即可! 2)稍后安裝操作系統: 后面會用到FTK Imager掛載起來的鏡像” 3)選擇對應的鏡像系統 4)虛擬機保存位置
選擇對應操作系統;填寫虛擬機名稱、虛擬機保存的位置,默認保存在C盤,建議自定義保存在其它容量大的分區里面。
如果不清楚鏡像類型 1、看 FTK Imager 掛載起來的分區,在“驅動器”里面可以看到“分區”的文件系統類型,根據文件判斷該掛載的鏡像就為“Windows”; 2、磁盤管理里面看類型。
2、固件類型
*"注意二"!!!
這個很重要!選擇錯誤,系統無法正確引導啟動。 Windows配置方面,舊系統統一般選擇BIOS,現在多數電腦都是UEFI,具體看掛載起來的系統鏡像。
3、處理器、內存及其它配置
有條件的建議配置高一些,方便運行虛擬機。處理器和內存分配太小了會卡,有時候鏡像數據量大還不一定能運行起來。
4、磁盤類型選擇“SATA”
*"注意三"!!!
磁盤類型一樣看所選鏡像,這里測試了選擇“SATA、SCSI”都可以啟動成功,選“NVMe”不行,猜測鏡像文件非NVMe固態硬盤所做。
5、本地磁盤
*"注意四"!!!
選擇“使用物理磁盤”,通常第一次選擇,點擊下一步會請求以管理員權限運行,需要允許!然后設備選擇前面 FTK Imager 掛載起來的對應驅動器號,磁盤默認選擇使用整個磁盤即可。
6、完成創建虛擬機
到這里直接下一步即可完成虛擬機的創建了。整體上需要注意的幾個點,細心就行了。
7、打開虛擬機
前面操作沒問題的話,系統鏡像就正常被啟動起來了。
8、錯誤示范
*"注意五"!!!
看分區類型,如果顯示EFI,固件類型只能選擇“UEFI”,不能選擇“BIOS”!!!否則出現以下報錯,而且無法進入系統!!!
引導選擇錯誤后,選擇忽略,還是無法進入系統!
結尾
在這里還是啰嗦幾句,經過測試發現 FTK Imager 新版本在掛載鏡像的時候不是很穩定,程序容易崩掉!工作中發現v3版本的穩定些。
| 名稱 | 時間 |
|---|---|
| 最后編輯日期: | 2020 年 10 月 26 日 |