【电子取证：FTK IMAGER 篇】DD、E01系统镜像动态仿真

news2024/11/24 2:23:38

文章目录

【电子取证：FTK Imager 篇】DD、E01系统镜像动态仿真
一、DD、E01系统镜像动态仿真
- （一）使用到的软件
- - 1、FTK Imager (v4.5.0.3)
  - 2、VMware Workstation 15 Pro (v15.5.2)
- （二）FTK Imager 挂载镜像
- - 1、选择 Imager Mounting
  - 2、选择系统镜像挂载
  - - *"注意一"！！！
- （三）VMware新建虚拟机
- - 1、新建虚拟机
  - 2、固件类型
  - - *"注意二"！！！
  - 3、处理器、内存及其它配置
  - 4、磁盘类型选择“SATA”
  - - *"注意三"！！！
  - 5、本地磁盘
  - - *"注意四"！！！
  - 6、完成创建虚拟机
  - 7、打开虚拟机
  - 8、错误示范
  - - *"注意五"！！！
  - 结尾

一、DD、E01系统镜像动态仿真

	在电子取证分析过程中，我们经常遇到DD、E01等系统镜像，然而，并非所有工作者手边都有自动化取证软件，我们如何利用手上的资源，将镜像给仿真起来查看里面的数据？
	本文以E01镜像为例（DD镜像相同），我们来通过简单的操作进行手动仿真，让镜像数据活起来！

（一）使用到的软件

1、FTK IMAGER (V4.5.0.3)

	FTK Imager “可写”模式挂载系统镜像为本地驱动器。
	FTK Imager官网链接：“https://accessdata.com/product-download/ftk-imager-version-4-5”。

2、VMWARE WORKSTATION 15 PRO (V15.5.2)

	VM新建虚拟机仿真系统镜像。
	VM官网链接：“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。

（二）FTK IMAGER 挂载镜像

	主要使用FTK Imager“可写”模式，挂载系统镜像到本地驱动器！

1、选择 IMAGER MOUNTING

	路径:文件->Imager Mounting;

在这里插入图片描述

2、选择系统镜像挂载

	1）选择需要挂载的镜像文件;
	2）选择"Block Device/Writable"；
	3）点击"Mount";
	4）记住"驱动器号";

*“注意一”！！！

	1）特别强调第2步！一定要选择“可写”模式，否则镜像无法仿真起来!
	2）mount成功后，会在本地磁盘显示出新的分区，可以打开Windows资源管理器查看，以及默认在镜像位置新生成一个后缀为“.adcf”的镜像同名文件，用来存放可写模式下镜像被修改的数据。

在这里插入图片描述

	镜像挂载前后对比！

在这里插入图片描述

	挂载成功后，默认在镜像的位置下生成一个后缀为".adcf"的同镜像名文件，用来存放镜像虚拟写入的文件。

在这里插入图片描述

（三）VMWARE新建虚拟机

1、新建虚拟机

1）新建虚拟机：
	创建新的虚拟机->“自定义（高级）”->下一步，虚拟机硬件兼容性默认即可！
2）稍后安装操作系统：
	后面会用到FTK Imager挂载起来的镜像”	
3）选择对应的镜像系统
4）虚拟机保存位置

在这里插入图片描述

	选择对应操作系统；填写虚拟机名称、虚拟机保存的位置，默认保存在C盘，建议自定义保存在其它容量大的分区里面。

在这里插入图片描述

如果不清楚镜像类型
	1）看 FTK Imager 挂载起来的分区，在“驱动器”里面可以看到“分区”的文件系统类型，根据文件判断该挂载的镜像就为“Windows”；
	2）磁盘管理里面查看；

2、固件类型

*“注意二”！！！

	这个很重要！选择错误，系统将无法正确启动。
	Windows配置方面，旧系统统一般选择BIOS，现在多数电脑都是UEFI，具体看挂载起来的系统镜像。

在这里插入图片描述

3、处理器、内存及其它配置

	有条件的建议配置高一些，方便运行虚拟机。处理器和内存分配太小了会卡，有时候镜像数据量大还不一定能运行起来。

在这里插入图片描述

4、磁盘类型选择“SATA”

*“注意三”！！！

	磁盘类型一样看所选镜像，这里测试了选择“SATA、SCSI”一般都可以启动成功，选“NVMe”不行，猜测镜像文件非NVMe固态硬盘所做。

在这里插入图片描述

5、本地磁盘

*“注意四”！！！

	选择“使用物理磁盘”，通常第一次选择，点击下一步会请求以管理员权限运行，需要允许！然后设备选择前面 FTK Imager 挂载起来的对应驱动器号，磁盘默认选择使用整个磁盘即可。

在这里插入图片描述

6、完成创建虚拟机

	到这里直接下一步即可完成虚拟机的创建了。整体上需要注意的几个点，细心就行了。

在这里插入图片描述

7、打开虚拟机

	前面操作没问题的话，系统镜像就正常被启动起来了。

在这里插入图片描述

8、错误示范

*“注意五”！！！

	看分区类型，如果显示EFI，固件类型只能选择“UEFI”，不能选择“BIOS”！！！否则出现以下报错，而且无法进入系统！！！

在这里插入图片描述

	引导选择错误后，选择忽略，还是无法进入系统！

在这里插入图片描述

结尾

	常出错的几个点都列出来了，在这里还是多说几句，经过测试发现 FTK Imager 新版本在挂载镜像的时候不是很稳定，程序容易崩掉！如发现系统仿真不起来，建议更换FTK Imager低版本的再试下，这是最快速的方法。
	太久不动了，写的比较啰嗦，有不对的地方欢迎指正，谢谢大家！后续会陆续分享一些电子取证方面的知识点。

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1308183.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！