蘇小沐的电子数据取证博客

简要记录下GHO系统镜像还原及系统仿真的过程---【蘇小沐】

听说你还分不清镜像的源盘哈希和镜像文件的哈希？镜像的两层防护，镜像的源盘哈希、镜像文件的哈希傻傻分不清---【蘇小沐】

使用FTK imager校验E01镜像文件的源盘哈希值---【蘇小沐】

系统仿真是个很神奇的东西，他能让你开心玩，也能让你崩溃。真的是没想到还有用的上FTK Imager3.1版本的一天，上一次使用应该还是2020年的时候，也是遇到一个奇葩的镜像死活起不来，这次没想到在ESXi又遇上，而且我一直引以为傲的Arsenal Image Mounte主力居然也不行。书写片面，纯粹做个记录，有错漏之处欢迎指正。公众号回复关键词【ESXi】自动获取资源合集。！！转载引用请注明出处，著作所有权归 [蘇小沐] 所有】记录开始编辑：2024年 05月 06日‍。

记系统镜像仿真常见错误集---【蘇小沐】

数据无价，操作需谨慎！！！数据无价，操作需谨慎！！！数据无价，操作需谨慎！！！这篇是2020年闲的时候测试的，间隔时间也比较久了，当时纯粹是好奇镜像还原到不同大小的硬盘会怎么样，如果做数据恢复的话效果如何，其中测试过程可能不太完整，见谅。---【蘇小沐】

这个是很久以前的一个镜像实验，当时仿真可以看到Windows的启动界面，但却一直无法正常进入系统，不断的尝试修复，都是显示错误，最后把类型改为IDE后，成功仿真进入系统---【蘇小沐】

DD和E01镜像

​ 系统千千万，环境占一半，遇到问题建议多重新挂载镜像，多尝试，站在岸上永远学不会游泳。—【蘇小沐】Windows建议用专业版，功能全。这里的镜像是以电子取证而言的法证镜像，国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像，是将一个磁盘打包成一个单独的文件，可以随时还原到另一个磁盘上，是一种位对位的数据备份功能，其数据和原盘数据完全相同的副本（包括了有数据的部分和没有数据的部分），并非简单的复制粘贴，这也是为什么DD镜像可以恢复删除的数据最重要

【加解密篇】Windows虚拟机全系列密码破解教程在电子取证中，遇到的是镜像格式，首先就需要镜像仿真进入系统，还经常会遇到系统有密码的情况，这一步很多人会选择同型号的系统镜像来替换，但是，系统镜像动辄4、5个GB大小，下载速度慢、修改步骤复杂，此篇介绍设置光驱启动的方法，加载PE镜像工具破解Windows系列密码 —【suy】文章目录【加解密篇】Windows虚拟机全系列密码破解教程一、DD镜像仿真1、实验数据2、镜像仿真教程：**[【电子取证：镜像仿真篇】DD、E01系统镜像动态仿真](https:/

【镜像取证篇】VMware虚拟机配置文件取证​ 虚拟机取证中，通常主要关注.log、.vmdk、.vmem三个文件，里面包含虚拟机的大部分资料信息。—【suy】测试环境1、VMware® Workstation 16 Pro（V16.1.2 build-17966106）2、Microsoft windows 11 专业版（V22000.282）虚拟机挂起状态虚拟机文件简介序号名称内容备注01.log虚拟机-调试运行情况的日志记录；如文件创建、USB

【镜像仿真篇】qemu-img磁盘镜像转换神器转换磁盘镜像格式，便于仿真搭建–【suy】文章目录【镜像仿真篇】qemu-img磁盘镜像转换神器一、qemu-img：磁盘镜像格式转换工具1、功能简介2、支持格式3、下载地址二、raw、qcow2等镜像装换为vmdk1、命令：./qemu-img convert -f raw NDASH.raw【源镜像路径】 -O vmdk NDASH.vmdk【输出镜像路径】2、转换后的镜像![在这里插入图片描述](https://img-blog.csdnimg.cn/

【镜像取证篇】常见镜像文件类型​ 人生若都如镜像–【suy】文章目录【镜像取证篇】常见镜像文件类型常见镜像文件类型常见镜像文件类型序号镜像后缀名镜像文件类型备注1.aff高级取证格式文件AFF2.dd、.001、.raw、.bin原始镜像文件RAW3.dmgDMG镜像文件DMG4.e01、.ex01Encase镜像文件（EWF、EWF2）EWF5.ghoGHOSTE镜像文件GHO6.img、.dvdClone

【镜像取证篇】虚拟机镜像类型简介​ 取证中常遇到的虚拟机镜像类型—【suy】文章目录【镜像取证篇】虚拟机镜像类型简介序号镜像后缀名镜像文件类型备注1.hdd、.hdsParallels镜像文件HDD2.qcow、.qcow2KVM镜像文件QCOW3.vdiVirtualBox镜像文件VDI4.vhdVirtualPC镜像文件VHD5.vhdxHyper-V虚拟镜像文件VHDX6.vmdkVMWare镜像文件

【电子取证：计算机取证篇】镜像挂载利器-Arsenal Image MounterArsenal Image Mounter是一款非常优秀的磁盘挂载工具，在Microsoft Windows中可以将磁盘映像的内容作为“真实磁盘”挂载到系统中。—【suy】文章目录【电子取证：计算机取证篇】镜像挂载利器-Arsenal Image Mounter一、Arsenal Image Mounter简介下载安装![在这里插入图片描述](https://img-blog.csdnimg.cn/202011282104

【电子取证：镜像仿真篇】Linux镜像仿真、E01镜像取证主要是Linux镜像仿真（DD、E01仿真相同），还介绍了特别特殊的一个情况，就是在虚拟磁盘里的镜像再挂载本地，出现的”磁盘占用“，导致无法成功仿真的问题！—【suy】文章目录【电子取证：镜像仿真篇】Linux镜像仿真、E01镜像取证一、FTK Imager 挂载镜像1、FTK Imager“可写”模式*"注意一"！！！二、新建VMware虚拟机1、选择客户端镜像系统2、磁盘类型选择“SATA”*"注意二"！！！3、本地磁盘*"注意三"！！！4、

【电子取证：FTK Imager 篇】DD、E01系统镜像动态仿真​ 星河滚烫，人生有理想！​ —【suy999】文章目录【电子取证：FTK Imager 篇】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真（一）使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)（二）FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"！！！（三）VMware新

Windows Server镜像仿真、vmdk镜像仿真​ 时间过得真快呀！–【suy999】文章目录Windows Server镜像仿真、vmdk镜像仿真一、qemu-img镜像转换工具（一）raw、qcow2等镜像装换为vmdk1、RAW镜像转换命令二、VMware新建虚拟机1、新建虚拟机2、固件类型->"BIOS"*"注意一"！！！3、处理器、内存及其它配置4、磁盘类型->“IDE”*"注意二"！！！5、选择磁盘*“注意三”！！！6、完成创建虚拟机*添加硬盘7、打开虚拟机选择需