超级会员免费看
微软Windows Vista系统的法医痕迹分析
1. 测试环境与软件
为简化测试流程,我们在VMware虚拟机(即*.vmdk文件)中安装了Windows Vista企业版。使用VMware Workstation 6.01版创建和管理虚拟机及安装Windows Vista企业版。最初创建的虚拟机磁盘大小约为10GB,生成的虚拟物理磁盘包含20,971,520个扇区。安装过程在单个主分区中占用了约7.6GB的分配空间,该分区格式化为NTFS。安装过程中选择了所有默认选项,安装完成后通过互联网激活了产品,此许可证是通过批量许可协议注册到我们机构的。
在整个过程中,我们使用EnCase Enterprise Edition 6.7实时预览虚拟机。利用EnCase的逻辑证据文件功能捕获给定文件或文件夹的逻辑内容,并使用EnCase查看VMware Workstation创建的*.vmdk(虚拟机磁盘文件)的内容。必要时,会创建并检查虚拟磁盘的法医映像。本文中的截图是在VMware Workstation或Windows XP作为主机时截取的,部分数据检查的截图也来自EnCase。
2. 物理和逻辑磁盘结构
Windows Vista企业版通过VMware Workstation安装在10GB的虚拟磁盘上,该虚拟磁盘文件在主机上分配空间,即安装前主机硬盘上的空间已被立即分配,且安装前没有其他数据复制到虚拟磁盘文件中。安装时接受默认值完成安装,在更改Windows Vista企业版的任何设置或值之前,关闭虚拟机并使用Encase进行预览。将VMDK添加到Encase中,在Encase的磁盘视图选项卡下进行检查。
主引导记录位于物理扇区0,其与之
订阅专栏 解锁全文
扫一扫
49
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
