【電子取證:映象模擬篇】DD、E01系統映象動態模擬

ldsweely發表於2024-04-16

【電子取證:映象模擬篇】DD、E01系統映象動態模擬
文章目錄

【電子取證:映象模擬篇】DD、E01系統映象動態模擬
一、DD、E01系統映象動態模擬
(一)使用到的軟體
1、FTK Imager (v4.5.0.3)
2、VMware Workstation 15 Pro (v15.5.2)
(二)FTK Imager 掛載映象
1、選擇 Imager Mounting
2、選擇系統映象掛載
*"注意一"!!!
(三)VMware新建虛擬機器
1、新建虛擬機器
2、韌體型別
*"注意二"!!!
3、處理器、記憶體及其它配置
4、磁碟型別選擇“SATA”
*"注意三"!!!
5、本地磁碟
*"注意四"!!!
6、完成建立虛擬機器
7、開啟虛擬機器
8、錯誤示範
*"注意五"!!!
結尾
一、DD、E01系統映象動態模擬
​在電子取證分析過程中,我們經常遇到DD、E01等系統映象,然而,並非所有工作者手邊都有自動化取證軟體,我們如何利用手上的資源,將映象給模擬起來檢視裡面的資料?
​本文以E01映象為例(DD映象相同),我們來透過簡單的操作進行手動模擬,讓映象資料活起來!

(一)使用到的軟體
1、FTK Imager (v4.5.0.3)
​ FTK Imager “可寫”模式掛載系統映象為本地驅動器。
​ FTK Imager官網連結:“https://accessdata.com/product-download/ftk-imager-version-4-5”。

2、VMware Workstation 15 Pro (v15.5.2)
VM新建虛擬機器模擬系統映象。 VM官網連結:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。

(二)FTK Imager 掛載映象
主要使用FTK Imager“可寫”模式,掛載系統映象到本地驅動器!

1、選擇 Imager Mounting
路徑:檔案->Imager Mounting;


2、選擇系統映象掛載
1)選擇需要掛載的映象檔案;
2)選擇"Block Device/Writable";
3)點選"Mount";
4)記住"驅動器號";

*“注意一”!!!
1)特別強調第2步!一定要選擇“可寫”模式,否則映象無法模擬起來!
2)mount成功後,會在本地磁碟顯示出新的分割槽,可以開啟Windows資源管理器檢視,以及預設在映象位置新生成一個字尾為“.adcf”的映象同名檔案,用來存放可寫模式下映象被修改的資料。


​ 映象掛載前後對比!

​掛載成功後,預設在映象的位置下生成一個字尾為".adcf"的同映象名檔案,用來存放映象虛擬寫入的檔案。


(三)VMware新建虛擬機器
1、新建虛擬機器
1)新建虛擬機器:
建立新的虛擬機器->“自定義(高階)”->下一步,虛擬機器硬體相容性預設即可!
2)稍後安裝作業系統:
後面會用到FTK Imager掛載起來的映象”
3)選擇對應的映象系統
4)虛擬機器儲存位置

​ 選擇對應作業系統;填寫虛擬機器名稱、虛擬機器儲存的位置,預設儲存在C盤,建議自定義儲存在其它容量大的分割槽裡面。

如果不清楚映象型別
1)看 FTK Imager 掛載起來的分割槽,在“驅動器”裡面可以看到“分割槽”的檔案系統型別,根據檔案判斷該掛載的映象就為“Windows”;
2)磁碟管理裡面檢視;


2、韌體型別
*“注意二”!!!
​ 這個很重要!選擇錯誤,系統將無法正確啟動。
​ Windows配置方面,舊系統統一般選擇BIOS,現在多數電腦都是UEFI,具體看掛載起來的系統映象。


3、處理器、記憶體及其它配置
有條件的建議配置高一些,方便執行虛擬機器。處理器和記憶體分配太小了會卡,有時候映象資料量大還不一定能執行起來。


4、磁碟型別選擇“SATA”
*“注意三”!!!
​ 磁碟型別一樣看所選映象,這裡測試了選擇“SATA、SCSI”一般都可以啟動成功,選“NVMe”不行,猜測映象檔案非NVMe固態硬碟所做。


5、本地磁碟
*“注意四”!!!
選擇“使用物理磁碟”,通常第一次選擇,點選下一步會請求以管理員許可權執行,需要允許!然後裝置選擇前面 FTK Imager 掛載起來的對應驅動器號,磁碟預設選擇使用整個磁碟即可。


6、完成建立虛擬機器
​ 到這裡直接下一步即可完成虛擬機器的建立了。整體上需要注意的幾個點,細心就行了。


7、開啟虛擬機器
前面操作沒問題的話,系統映象就正常被啟動起來了。


8、錯誤示範
*“注意五”!!!

看分割槽型別,如果顯示EFI,韌體型別只能選擇“UEFI”,不能選擇“BIOS”!!!否則出現以下報錯,而且無法進入系統!!!

引導選擇錯誤後,選擇忽略,還是無法進入系統!


結尾
​ 常出錯的幾個點都列出來了,在這裡還是多說幾句,經過測試發現 FTK Imager 新版本在掛載映象的時候不是很穩定,程式容易崩掉!如發現系統模擬不起來,建議更換FTK Imager低版本的再試下,這是最快速的方法。
​ 太久不動,寫的比較囉嗦,有不對的地方歡迎指正,謝謝大家!後續會陸續分享一些電子取證方面的知識點


原文連結:https://blog.csdn.net/NDASH/article/details/109300477

相關文章