【电子取证:FTK IMAGER 篇】DD、E01系统镜像动态仿真
文章目录
- 【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真
- 一、DD、E01系统镜像动态仿真
-
- (一)使用到的软件
-
- 1、FTK Imager (v4.5.0.3)
- 2、VMware Workstation 15 Pro (v15.5.2)
- (二)FTK Imager 挂载镜像
-
- 1、选择 Imager Mounting
- 2、选择系统镜像挂载
-
- *"注意一"!!!
- (三)VMware新建虚拟机
-
- 1、新建虚拟机
- 2、固件类型
-
- *"注意二"!!!
- 3、处理器、内存及其它配置
- 4、磁盘类型选择“SATA”
-
- *"注意三"!!!
- 5、本地磁盘
-
- *"注意四"!!!
- 6、完成创建虚拟机
- 7、打开虚拟机
- 8、错误示范
-
- *"注意五"!!!
- 结尾
一、DD、E01系统镜像动态仿真
在电子取证分析过程中,我们经常遇到DD、E01等系统镜像,然而,并非所有工作者手边都有自动化取证软件,我们如何利用手上的资源,将镜像给仿真起来查看里面的数据?本文以E01镜像为例(DD镜像相同),我们来通过简单的操作进行手动仿真,让镜像数据活起来!
(一)使用到的软件
1、FTK IMAGER (V4.5.0.3)
FTK Imager “可写”模式挂载系统镜像为本地驱动器。FTK Imager官网链接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。
2、VMWARE WORKSTATION 15 PRO (V15.5.2)
VM新建虚拟机仿真系统镜像。VM官网链接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。
(二)FTK IMAGER 挂载镜像
主要使用FTK Imager“可写”模式,挂载系统镜像到本地驱动器!
1、选择 IMAGER MOUNTING
路径:文件->Imager Mounting;
2、选择系统镜像挂载
1)选择需要挂载的镜像文件;2)选择"Block Device/Writable";3)点击"Mount";4)记住"驱动器号";
*“注意一”!!!
1)特别强调第2步!一定要选择“可写”模式,否则镜像无法仿真起来!2)mount成功后,会在本地磁盘显示出新的分区,可以打开Windows资源管理器查看,以及默认在镜像位置新生成一个后缀为“.adcf”的镜像同名文件,用来存放可写模式下镜像被修改的数据。
镜像挂载前后对比!
挂载成功后,默认在镜像的位置下生成一个后缀为".adcf"的同镜像名文件,用来存放镜像虚拟写入的文件。
(三)VMWARE新建虚拟机
1、新建虚拟机
1)新建虚拟机:创建新的虚拟机->“自定义(高级)”->下一步,虚拟机硬件兼容性默认即可!
2)稍后安装操作系统:后面会用到FTK Imager挂载起来的镜像”
3)选择对应的镜像系统
4)虚拟机保存位置
选择对应操作系统;填写虚拟机名称、虚拟机保存的位置,默认保存在C盘,建议自定义保存在其它容量大的分区里面。
如果不清楚镜像类型1)看 FTK Imager 挂载起来的分区,在“驱动器”里面可以看到“分区”的文件系统类型,根据文件判断该挂载的镜像就为“Windows”;2)磁盘管理里面查看;
2、固件类型
*“注意二”!!!
这个很重要!选择错误,系统将无法正确启动。Windows配置方面,旧系统统一般选择BIOS,现在多数电脑都是UEFI,具体看挂载起来的系统镜像。
3、处理器、内存及其它配置
有条件的建议配置高一些,方便运行虚拟机。处理器和内存分配太小了会卡,有时候镜像数据量大还不一定能运行起来。
4、磁盘类型选择“SATA”
*“注意三”!!!
磁盘类型一样看所选镜像,这里测试了选择“SATA、SCSI”一般都可以启动成功,选“NVMe”不行,猜测镜像文件非NVMe固态硬盘所做。
5、本地磁盘
*“注意四”!!!
选择“使用物理磁盘”,通常第一次选择,点击下一步会请求以管理员权限运行,需要允许!然后设备选择前面 FTK Imager 挂载起来的对应驱动器号,磁盘默认选择使用整个磁盘即可。
6、完成创建虚拟机
到这里直接下一步即可完成虚拟机的创建了。整体上需要注意的几个点,细心就行了。
7、打开虚拟机
前面操作没问题的话,系统镜像就正常被启动起来了。
8、错误示范
*“注意五”!!!
看分区类型,如果显示EFI,固件类型只能选择“UEFI”,不能选择“BIOS”!!!否则出现以下报错,而且无法进入系统!!!
引导选择错误后,选择忽略,还是无法进入系统!
结尾
常出错的几个点都列出来了,在这里还是多说几句,经过测试发现 FTK Imager 新版本在挂载镜像的时候不是很稳定,程序容易崩掉!如发现系统仿真不起来,建议更换FTK Imager低版本的再试下,这是最快速的方法。太久不动了,写的比较啰嗦,有不对的地方欢迎指正,谢谢大家!后续会陆续分享一些电子取证方面的知识点。相关文章:
【电子取证:FTK IMAGER 篇】DD、E01系统镜像动态仿真
文章目录 【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真 (一)使用到的软件 1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像 1、选择 …...
netcat瑞士军刀
netcat瑞士军刀 1、nc简介3、从示例中学习2、命令格式及常用参数 1、nc简介 nc(netcat)是一个短小精悍、功能实用、简单可靠的网络工具,主要有如下作用: (1)端口侦听,nc 可以作为 server 以 TC…...
【征稿倒计时十天】第三届高性能计算与通信工程国际学术会议(HPCCE 2023)
【有ISSN、ISBN号!!往届均已完成EI检索】 第三届高性能计算与通信工程国际学术会议(HPCCE 2023) 2023 3rd International Conference on High Performance Computing and Communication Engineering (HPCCE 2023) 2023年12月22-24日 | 中国哈尔滨 第三…...
编程应用实际场景:台球厅怎么样用电脑给客人计时,台球计时收费系统操作教程
一、前言 准确控制顾客在店内游玩的时间,从而控制店内的各项成本,并提升店内的客流量。在顾客享受计时项目的时候,可以同时添加其他食物消费,并将单据合并统一结账。软件中的会员功能可以为客户办理会员可以使用灯控器控灯&#…...
云计算大屏,可视化云计算分析平台(云实时数据大屏PSD源文件)
大屏组件可以让UI设计师的工作更加便捷,使其更高效快速的完成设计任务。现分享可视化云分析系统、可视化云计算分析平台、云实时数据大屏的大屏Photoshop源文件,开箱即用! 若需 更多行业 相关的大屏,请移步小7的另一篇文章&#…...
高频js-----js执行机制 Event Loop
修改代码,让代码每隔1秒输出1-5 for (var i 0; i < 5;i) {setTimeout(() > {console.log(i)}, 1000)} 首先我们需要了解js的执行机制 (Event Loop) js是单线层,如果现在执行上面代码的话 会输出 5个5 这里不明白的同学可以去看一下我以前发布的关于EventLoop的文章 …...
恢复出厂设置后在 Android 上恢复照片的 6 种常用方法
恢复出厂设置可帮助您删除电子设备的所有信息并将其恢复到原始系统状态。但是,如果您不小心按下了恢复出厂设置按钮并从 Android 设备中删除了所有难忘的照片,该怎么办?好吧,您无需担心,因为可以通过以下一些方法来恢复…...
人工智能_机器学习065_SVM支持向量机KKT条件_深度理解KKT条件下的损失函数求解过程_公式详细推导_---人工智能工作笔记0105
之前我们已经说了KKT条件,其实就是用来解决 如何实现对,不等式条件下的,目标函数的求解问题,之前我们说的拉格朗日乘数法,是用来对 等式条件下的目标函数进行求解. KKT条件是这样做的,添加了一个阿尔法平方对吧,这个阿尔法平方肯定是大于0的,那么 可以结合下面的文章去看,也…...
网线市场现状与发展趋势预测
随着物联网、5G、云计算等技术的迅速发展,全球对于高速、稳定的网络需求急剧增长,这进一步推动了网线市场的发展。各种网络应用场景,从家庭到企业、数据中心到智能城市,都需要大量的高质量网线来支持数据传输和通信需求。本文将对…...
力扣二叉树--第四十一天
前言 写完这三道题,二叉树部分就先告一段落了。其实还有很多模糊的地方。 内容 一、修剪二叉搜索树 669. 修剪二叉搜索树 给你二叉搜索树的根节点 root ,同时给定最小边界low 和最大边界 high。通过修剪二叉搜索树,使得所有节点的值在[l…...
计算机视觉(P2)-计算机视觉任务和应用
一、说明 在本文中,我们将探讨主要的计算机视觉任务以及每个任务最流行的应用程序。 二、图像内容分类 2.1. 图像分类 图像分类是计算机视觉领域的主要任务之一[1]。在该任务中,经过训练的模型根据预定义的类集为图像分配特定的类。下图是著名的CIFAR…...
redis-学习笔记(Jedis zset 简单命令)
zadd & zrange zadd , 插入的第一个参数是 zset , 第二个参数是 score, 第三个参数是 member 成员 内部依据 score 排序 zrange 返回 key 对应的 对应区间内的值 zrangeWithScore 返回 key 对应的 对应区间内的值和分数 示例代码 zcard 返回 key 对应的 zset 的长度 示例代…...
uniapp实战 —— 弹出层 uni-popup (含vue3子组件调父组件的方法)
效果预览 弹出的内容 src\pages\goods\components\ServicePanel.vue <script setup lang"ts"> // 子组件调父组件的方法 const emit defineEmits<{(event: close): void }>() </script><template><view class"service-panel"…...
智能优化算法应用:基于平衡优化器算法3D无线传感器网络(WSN)覆盖优化 - 附代码
智能优化算法应用:基于平衡优化器算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用:基于平衡优化器算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.平衡优化器算法4.实验参数设定5.算法…...
Netty详细文档
Netty教程 文章目录 Netty教程 Netty简介Netty 的介绍Netty 的应用场景互联网行业游戏行业大数据领域其它开源项目使用到 Netty Netty 的学习资料参考 Java BIO编程I/O 模型BIO、NIO、AIO 使用场景分析Java BIO 基本介绍Java BIO 工作机制Java BIO 应用实例问题分析 Java NIO编…...
C语言结构体和位段
自定义类型:结构体及联合和枚举 一.结构体类型的声明1.1 结构体的概念1.2结构的声明1.3特殊的声明1.4结构体的自引用1.5可以使用typedef重命名 二.结构体变量的创建和初始化2.1结构体变量的初始化使用{}2.2初始化:定义变量的同时赋初值。2.3结构体嵌套及…...
【剑指offer|图解|数组】寻找文件副本 + 螺旋遍历二维数组
🌈个人主页:聆风吟 🔥系列专栏:数据结构、剑指offer每日一练 🔖少年有梦不应止于心动,更要付诸行动。 文章目录 一. ⛳️寻找文件副本(题目难度:简单)1.1 题目1.2 示例1.3 限制1.4 解题思路一c代…...
Python核心编程之文件和输入输出
目录 一、文件对象 二、 文件内建函数[open()和file()] 1、工厂函数 file() 2、通用换行符支持(UNS)...
Axure 9基本元件,表单及表格元件简介,表单案例
目录 一.基本元件 1.元件基本介绍 2.基本元件的使用 二.表单及表格元件 三.表单案例 四.简单简历绘制 一.基本元件 1.元件基本介绍 概述 - 在Axure RP中,元件是**构建原型图的基础模块**。 将元件从元件库里拖拽到画布中,即可添加元件到你的原型…...
ARM I2C通信
1.概念 I2C总线是PHLIPS公司在八十年代初推出的一种串行的半双工同步总线,主要用于连接整体电路2.IIC总线硬件连接 1.IIC总线支持多主机多从机,但是在实际开发过程中,大多数采用单主机多从机模式 2.挂接到IIC总线上,每个从机设备都…...
【Python】 -- 趣味代码 - 小恐龙游戏
文章目录 文章目录 00 小恐龙游戏程序设计框架代码结构和功能游戏流程总结01 小恐龙游戏程序设计02 百度网盘地址00 小恐龙游戏程序设计框架 这段代码是一个基于 Pygame 的简易跑酷游戏的完整实现,玩家控制一个角色(龙)躲避障碍物(仙人掌和乌鸦)。以下是代码的详细介绍:…...
)
Java 语言特性(面试系列1)
一、面向对象编程 1. 封装(Encapsulation) 定义:将数据(属性)和操作数据的方法绑定在一起,通过访问控制符(private、protected、public)隐藏内部实现细节。示例: public …...
突破不可导策略的训练难题:零阶优化与强化学习的深度嵌合
强化学习(Reinforcement Learning, RL)是工业领域智能控制的重要方法。它的基本原理是将最优控制问题建模为马尔可夫决策过程,然后使用强化学习的Actor-Critic机制(中文译作“知行互动”机制),逐步迭代求解…...
第25节 Node.js 断言测试
Node.js的assert模块主要用于编写程序的单元测试时使用,通过断言可以提早发现和排查出错误。 稳定性: 5 - 锁定 这个模块可用于应用的单元测试,通过 require(assert) 可以使用这个模块。 assert.fail(actual, expected, message, operator) 使用参数…...
C++ 基础特性深度解析
目录 引言 一、命名空间(namespace) C 中的命名空间 与 C 语言的对比 二、缺省参数 C 中的缺省参数 与 C 语言的对比 三、引用(reference) C 中的引用 与 C 语言的对比 四、inline(内联函数…...
Java编程之桥接模式
定义 桥接模式(Bridge Pattern)属于结构型设计模式,它的核心意图是将抽象部分与实现部分分离,使它们可以独立地变化。这种模式通过组合关系来替代继承关系,从而降低了抽象和实现这两个可变维度之间的耦合度。 用例子…...
c++第七天 继承与派生2
这一篇文章主要内容是 派生类构造函数与析构函数 在派生类中重写基类成员 以及多继承 第一部分:派生类构造函数与析构函数 当创建一个派生类对象时,基类成员是如何初始化的? 1.当派生类对象创建的时候,基类成员的初始化顺序 …...
Docker拉取MySQL后数据库连接失败的解决方案
在使用Docker部署MySQL时,拉取并启动容器后,有时可能会遇到数据库连接失败的问题。这种问题可能由多种原因导致,包括配置错误、网络设置问题、权限问题等。本文将分析可能的原因,并提供解决方案。 一、确认MySQL容器的运行状态 …...
《Offer来了:Java面试核心知识点精讲》大纲
文章目录 一、《Offer来了:Java面试核心知识点精讲》的典型大纲框架Java基础并发编程JVM原理数据库与缓存分布式架构系统设计二、《Offer来了:Java面试核心知识点精讲(原理篇)》技术文章大纲核心主题:Java基础原理与面试高频考点Java虚拟机(JVM)原理Java并发编程原理Jav…...
HTTPS证书一年多少钱?
HTTPS证书作为保障网站数据传输安全的重要工具,成为众多网站运营者的必备选择。然而,面对市场上种类繁多的HTTPS证书,其一年费用究竟是多少,又受哪些因素影响呢? 首先,HTTPS证书通常在PinTrust这样的专业平…...