【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真

最新推荐文章于 2024-10-11 15:28:24 发布
原创 最新推荐文章于 2024-10-11 15:28:24 发布 · 2.5w 阅读 · 194 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#操作系统 #windows 10

本文介绍如何利用FTKImager和VMwareWorkstation手动仿真DD、E01系统镜像,使镜像数据得以查看。通过具体步骤指导如何挂载镜像并创建虚拟机。

DD、E01系统镜像动态仿真

​ 理想滚烫,人生再无星河!—【suy999】

文章目录

一、DD、E01系统镜像动态仿真

在电子取证分析过程中,我们经常遇到DD、E01等系统镜像,然而,并非所有工作者手边都有自动化取证软件,我们如何利用手上的资源,将镜像给仿真起来查看里面的数据?
本文以E01镜像为例(DD镜像相同),我们来通过简单的操作进行手动仿真,让镜像数据活起来!

(一)使用到的软件

1、FTK Imager (v4.5.0.3)

	FTK Imager “可写”模式挂载系统镜像为本地驱动器。
	FTK Imager官网链接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。

2、VMware Workstation 15 Pro (v15.5.2)

	VM新建虚拟机仿真系统镜像。
	VM官网链接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。

(二)FTK Imager 挂载镜像

	主要使用FTK Imager“可写”模式,挂载系统镜像到本地驱动器!

1、选择 Imager Mounting

	路径:文件->Imager Mounting;

在这里插入图片描述

2、选择系统镜像挂载

	1)选择需要挂载的镜像文件;
	2)选择"Block Device/Writable";
	3)点击"Mount";
	4)记住"驱动器号";
*“注意一”!!!
	1)特别强调第2步!一定要选择“可写”模式,否则镜像无法仿真起来!
	2)mount成功后,会在本地磁盘显示出新的分区,可以打开Windows资源管理器查看,以及默认在镜像位置新生成一个后缀为“.adcf”的镜像同名文件,用来存放可写模式下镜像被修改的数据。

在这里插入图片描述

	镜像挂载前后对比!

在这里插入图片描述

	挂载成功后,默认在镜像的位置下生成一个后缀为".adcf"的同镜像名文件,用来存放镜像虚拟写入的文件。

在这里插入图片描述

(三)VMware新建虚拟机

1、新建虚拟机

1)新建虚拟机:
	创建新的虚拟机->“自定义(高级)”->下一步,虚拟机硬件兼容性默认即可!
2)稍后安装操作系统:
	后面会用到FTK Imager挂载起来的镜像”	
3)选择对应的镜像系统
4)虚拟机保存位置

在这里插入图片描述

	选择对应操作系统;填写虚拟机名称、虚拟机保存的位置,默认保存在C盘,建议自定义保存在其它容量大的分区里面。

在这里插入图片描述

如果不清楚镜像类型
	1、看 FTK Imager 挂载起来的分区,在“驱动器”里面可以看到“分区”的文件系统类型,根据文件判断该挂载的镜像就为“Windows”;
	2、磁盘管理里面看类型。

在这里插入图片描述

2、固件类型

*“注意二”!!!
	这个很重要!选择错误,系统无法正确引导启动。
	Windows配置方面,旧系统统一般选择BIOS,现在多数电脑都是UEFI,具体看挂载起来的系统镜像。

在这里插入图片描述

3、处理器、内存及其它配置

	有条件的建议配置高一些,方便运行虚拟机。处理器和内存分配太小了会卡,有时候镜像数据量大还不一定能运行起来。

在这里插入图片描述

4、磁盘类型选择“SATA”

*“注意三”!!!
	磁盘类型一样看所选镜像,这里测试了选择“SATA、SCSI”都可以启动成功,选“NVMe”不行,猜测镜像文件非NVMe固态硬盘所做。

在这里插入图片描述

5、本地磁盘

*“注意四”!!!
	选择“使用物理磁盘”,通常第一次选择,点击下一步会请求以管理员权限运行,需要允许!然后设备选择前面 FTK Imager 挂载起来的对应驱动器号,磁盘默认选择使用整个磁盘即可。

在这里插入图片描述

6、完成创建虚拟机

	到这里直接下一步即可完成虚拟机的创建了。整体上需要注意的几个点,细心就行了。

在这里插入图片描述

7、打开虚拟机

	前面操作没问题的话,系统镜像就正常被启动起来了。

在这里插入图片描述

8、错误示范

*“注意五”!!!
	看分区类型,如果显示EFI,固件类型只能选择“UEFI”,不能选择“BIOS”!!!否则出现以下报错,而且无法进入系统!!!

在这里插入图片描述

	引导选择错误后,选择忽略,还是无法进入系统!

在这里插入图片描述

结尾

	在这里还是多说几句,经过测试发现 FTK Imager 新版本在挂载镜像的时候不是很稳定,程序容易崩掉!工作中发现v3版本的较稳定。
名称时间
最后编辑日期:2020 年 10 月 26 日
Windows取证——隐藏术
记录并分享学习安全的知识点..
11-12 1033
一、普通文件属性隐藏 方法一: 方法二: 破解隐藏文件方法: 二、畸形目录 (一)概念 (二)操作畸形目录 三、Windows系统保留字 四、不死僵尸木马 五、Windows驱动级文件隐藏 (一)驱动级文件隐藏的特点 (二)如何查看隐藏的文件
电子数据取证】E01dd等文件如何手动仿真
longxintec的博客
07-24 3469
总而言之,手动仿真 DD 和 E01 文件格式有助于理解其工作原理和内部结构。通过学习手动仿真,可以更好地应对复杂的数据恢复和取证任务。数据取证和存储分析领域中,E01DD文件格式是非常常见的磁盘映像文件。了解如何手动仿真这些文件格式,对于理解其结构和使用场景非常重要。选择镜像文件 -> 加载方法选择:“Block Device / Writeable” -> 点击装载 -> 记住驱动号(Drive)。挂载成功后,会在原来的镜像文件目录下,生成一个 .adcf文件,它是用来存放镜像虚拟写入的文件的。
AccessData FTK Imager 3.14
07-05
FTK Imager 是免费的镜像工具,功能强大,支持几十种镜像格式,E01DD、L01、DMG、VMDK、VHD、AD1,使用过程中几乎没有遇到挂在不了的镜像格式。FTK Imager强大之处还在于可以获取当前内存镜像、获取受保护的文件,例如直接获取当前系统的注册表文件。另外,此工具完全免费,而且是绿色的,安装后复制安装目录到任意地方都可以直接运行。
电子取证镜像仿真】Linux镜像仿真、E01镜像取证
蘇小沐的电子数据取证博客
11-23 9419
电子取证镜像仿真】Linux镜像仿真、E01镜像取证 主要是Linux镜像仿真DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的”磁盘占用“,导致无法成功仿真的问题!—【suy】 文章目录【电子取证镜像仿真】Linux镜像仿真、E01镜像取证一、FTK Imager 挂载镜像1、FTK Imager“可写”模式*"注意一"!!!二、新建VMware虚拟机1、选择客户端镜像系统2、磁盘类型选择“SATA”*"注意二"!!!3、本地磁盘*"注意三"!!!4、
取证FTK Imager学习笔记
shy的博客
10-11 7044
1)物理驱动器整个驱动器,如:识别到的是整块硬盘、U盘等,而不管你分几个分区;2)逻辑驱动器(L)分区,如:一块硬盘分C盘、D盘等;3)映像文件(I)镜像文件,如:DD、E01镜像文件;4)文件夹内容(F)文件夹,就是可对文件夹做出镜像;5)Fernico设备(多个CD/DVD)(D)对光盘做镜像
Linux硬盘镜像获取与还原(ddAccessData FTK Imager
L592181260的博客
11-25 5365
1、硬盘镜像获取工具:dd dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。 1.1 本地取数据 查看磁盘及分区 # fdisk -l 获取整个磁盘镜像文件 # dd if=需要拷贝的磁盘 of=/存储目录/镜像文件 (确保存储目录有足够的空间) 1.2 远程取硬盘数据· 克隆硬盘或分区的操作,不应在已经mount的的系统上进行,采取远程取的办法这样可以避免破坏现场。 NC远程传输文件 从受害机器A拷贝文件到取证机器B。需要先在取证机器
计算机取证WindowsFTK+X-Way取证复制
zsrzy的博客
04-05 9299
计算机取证WindowsFTK+X-Way取证复制
镜像取证DD系统镜像仿真问题的一些补充说明
蘇小沐的电子数据取证博客
06-07 4140
系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳。—【蘇小沐】Windows建议用专业版,功能全。这里的镜像是以电子取证而言的法证镜像,国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像,是将一个磁盘打包成一个单独的文件,可以随时还原到另一个磁盘上,是一种位对位的数据备份功能,其数据和原盘数据完全相同的副本(包括了有数据的部分和没有数据的部分),并非简单的复制粘贴,这也是为什么DD镜像可以恢复删除的数据最重要
VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试
03-27
NULL 博文链接:https://authware.iteye.com/blog/1170533
E01镜像查看器
08-09
E01镜像查看工具。
镜像查看工具
11-30
镜像编辑软件
镜像功能使用
02-16
制作和读取iso之类软件及解压iso音乐,因为总是找不到这类软件,所以放到这里方便自己也方便他人使用。。。。。
磁盘镜像工具
06-12
FTK Imager 是我最喜欢的镜像工具,功能强大,支持几十种镜像格式,E01DD、L01、DMG、VMDK、VHD、AD1; FTK Imager 获取当前内存镜像、获取受保护的文件;
手机电子取证镜像仿真
最新发布
07-22
在手机电子取证中,镜像仿真是一种关键的技术手段,用于从设备中提取数据并进行分析。通过镜像仿真取证人员可以在不影响原始数据的前提下,查看和分析设备中的内容。以下是一些常用的工具和方法: ### 工具 1. *...
我是一名电子取证技术员,我现在有一份Linux服务器的E01格式的镜像文件,我应该如何使用vm软件将这个镜像文件仿真起来
03-19
</think>### 使用VM软件加载E01镜像启动Linux服务器仿真环境 #### 步骤1:挂载E01镜像文件 E01取证镜像格式,需通过专业工具挂载: 1. **使用FTK Imager**: - 下载并安装[FTK Imager]...
镜像仿真Windows Server服务器镜像仿真
蘇小沐的电子数据取证博客
12-04 3212
Windows Server镜像仿真、vmdk镜像仿真 ​ 时间过得真快呀!–【suy999】 文章目录Windows Server镜像仿真、vmdk镜像仿真一、qemu-img镜像转换工具(一)raw、qcow2等镜像装换为vmdk1、RAW镜像转换命令二、VMware新建虚拟机1、新建虚拟机2、固件类型->"BIOS"*"注意一"!!!3、处理器、内存及其它配置4、磁盘类型->“IDE”*"注意二"!!!5、选择磁盘*“注意三”!!!6、完成创建虚拟机*添加硬盘7、打开虚拟机选择需
镜像仿真】ESXi镜像仿真教程
蘇小沐的电子数据取证博客
06-04 2237
系统仿真是个很神奇的东西,他能让你开心玩,也能让你崩溃。真的是没想到还有用的上FTK Imager3.1版本的一天,上一次使用应该还是2020年的时候,也是遇到一个奇葩的镜像死活起不来,这次没想到在ESXi又遇上,而且我一直引以为傲的Arsenal Image Mounte主力居然也不行。书写片面,纯粹做个记录,有错漏之处欢迎指正。公众号回复关键词【ESXi】自动获取资源合集。!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】记录开始编辑:2024年 05月 06日‍。
镜像取证DD和E01镜像格式区别(简)
蘇小沐的电子数据取证博客
04-19 8756
DD和E01镜像
ftk imager
06-22
### FTK Imager 下载与使用指南 FTK Imager 是一款功能强大的镜像文件制作工具,广泛应用于数据管理、恢复及取证领域。以下是关于其下载和使用的详细信息: #### 下载来源 用户可以从以下两个官方或可信的资源地址下载 FTK Imager 的安装包: - **FTK Imager 4.2.0 中文版**:项目地址为 [https://gitcode.com/open-source-toolkit/cefbd](https://gitcode.com/open-source-toolkit/cefbd) [^1]。 - **FTK Imager 4.1 版本**:如果需要更早版本,可以访问 [https://gitcode.com/Premium-Resources/752e3](https://gitcode.com/Premium-Resources/752e3) [^2]。 #### 工具功能概述 FTK Imager 支持将硬盘、分区及移动设备快速转换为镜像文件,便于备份与恢复 [^2]。它还具备以下特性: - **磁盘克隆**:实现数据的无缝迁移。 - **数据恢复**:从损坏的磁盘或镜像中提取重要信息。 - **编辑功能**:允许用户对镜像文件进行添加、删除或修改操作。 #### 安装与设置 安装完成后,若需要切换至中文界面,可以通过修改注册表实现。具体步骤如下: 1. 创建一个文本文件,并写入以下代码: ```reg Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\AccessData\FTK Imager] "Language"="CHS" ``` 2. 将文件后缀名改为 `.reg`,双击运行即可完成汉化 [^3]。 #### 使用场景 FTK Imager 在挂载磁盘镜像时表现优异。例如,当挂载 Linux 系统镜像文件时,Windows 系统可能无法直接显示文件内容,此时只需忽略格式化提示即可继续操作 [^4]。 #### 注意事项 为了确保安全,建议在使用前备份重要数据,并从正规渠道获取软件安装包 [^2]。 ```python # 示例代码:检查系统是否支持特定编码 import sys def check_encoding(): if 'utf-8' in sys.getdefaultencoding().lower(): print("系统支持 UTF-8 编码") else: print("系统可能不支持 UTF-8 编码,请检查") check_encoding() ```
评论 26
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值