【电子取证:FTK IMAGER 篇】DD、E01系统镜像动态仿真
文章目录
- 【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真
- 一、DD、E01系统镜像动态仿真
-
- (一)使用到的软件
-
- 1、FTK Imager (v4.5.0.3)
- 2、VMware Workstation 15 Pro (v15.5.2)
- (二)FTK Imager 挂载镜像
-
- 1、选择 Imager Mounting
- 2、选择系统镜像挂载
-
- *"注意一"!!!
- (三)VMware新建虚拟机
-
- 1、新建虚拟机
- 2、固件类型
-
- *"注意二"!!!
- 3、处理器、内存及其它配置
- 4、磁盘类型选择“SATA”
-
- *"注意三"!!!
- 5、本地磁盘
-
- *"注意四"!!!
- 6、完成创建虚拟机
- 7、打开虚拟机
- 8、错误示范
-
- *"注意五"!!!
- 结尾
一、DD、E01系统镜像动态仿真
在电子取证分析过程中,我们经常遇到DD、E01等系统镜像,然而,并非所有工作者手边都有自动化取证软件,我们如何利用手上的资源,将镜像给仿真起来查看里面的数据?本文以E01镜像为例(DD镜像相同),我们来通过简单的操作进行手动仿真,让镜像数据活起来!
(一)使用到的软件
1、FTK IMAGER (V4.5.0.3)
FTK Imager “可写”模式挂载系统镜像为本地驱动器。FTK Imager官网链接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。
2、VMWARE WORKSTATION 15 PRO (V15.5.2)
VM新建虚拟机仿真系统镜像。VM官网链接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。
(二)FTK IMAGER 挂载镜像
主要使用FTK Imager“可写”模式,挂载系统镜像到本地驱动器!
1、选择 IMAGER MOUNTING
路径:文件->Imager Mounting;
2、选择系统镜像挂载
1)选择需要挂载的镜像文件;2)选择"Block Device/Writable";3)点击"Mount";4)记住"驱动器号";
*“注意一”!!!
1)特别强调第2步!一定要选择“可写”模式,否则镜像无法仿真起来!2)mount成功后,会在本地磁盘显示出新的分区,可以打开Windows资源管理器查看,以及默认在镜像位置新生成一个后缀为“.adcf”的镜像同名文件,用来存放可写模式下镜像被修改的数据。
镜像挂载前后对比!
挂载成功后,默认在镜像的位置下生成一个后缀为".adcf"的同镜像名文件,用来存放镜像虚拟写入的文件。
(三)VMWARE新建虚拟机
1、新建虚拟机
1)新建虚拟机:创建新的虚拟机->“自定义(高级)”->下一步,虚拟机硬件兼容性默认即可!
2)稍后安装操作系统:后面会用到FTK Imager挂载起来的镜像”
3)选择对应的镜像系统
4)虚拟机保存位置
选择对应操作系统;填写虚拟机名称、虚拟机保存的位置,默认保存在C盘,建议自定义保存在其它容量大的分区里面。
如果不清楚镜像类型1)看 FTK Imager 挂载起来的分区,在“驱动器”里面可以看到“分区”的文件系统类型,根据文件判断该挂载的镜像就为“Windows”;2)磁盘管理里面查看;
2、固件类型
*“注意二”!!!
这个很重要!选择错误,系统将无法正确启动。Windows配置方面,旧系统统一般选择BIOS,现在多数电脑都是UEFI,具体看挂载起来的系统镜像。
3、处理器、内存及其它配置
有条件的建议配置高一些,方便运行虚拟机。处理器和内存分配太小了会卡,有时候镜像数据量大还不一定能运行起来。
4、磁盘类型选择“SATA”
*“注意三”!!!
磁盘类型一样看所选镜像,这里测试了选择“SATA、SCSI”一般都可以启动成功,选“NVMe”不行,猜测镜像文件非NVMe固态硬盘所做。
5、本地磁盘
*“注意四”!!!
选择“使用物理磁盘”,通常第一次选择,点击下一步会请求以管理员权限运行,需要允许!然后设备选择前面 FTK Imager 挂载起来的对应驱动器号,磁盘默认选择使用整个磁盘即可。
6、完成创建虚拟机
到这里直接下一步即可完成虚拟机的创建了。整体上需要注意的几个点,细心就行了。
7、打开虚拟机
前面操作没问题的话,系统镜像就正常被启动起来了。
8、错误示范
*“注意五”!!!
看分区类型,如果显示EFI,固件类型只能选择“UEFI”,不能选择“BIOS”!!!否则出现以下报错,而且无法进入系统!!!
引导选择错误后,选择忽略,还是无法进入系统!
结尾
常出错的几个点都列出来了,在这里还是多说几句,经过测试发现 FTK Imager 新版本在挂载镜像的时候不是很稳定,程序容易崩掉!如发现系统仿真不起来,建议更换FTK Imager低版本的再试下,这是最快速的方法。太久不动了,写的比较啰嗦,有不对的地方欢迎指正,谢谢大家!后续会陆续分享一些电子取证方面的知识点。相关文章:
【电子取证:FTK IMAGER 篇】DD、E01系统镜像动态仿真
文章目录 【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真 (一)使用到的软件 1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像 1、选择 …...
netcat瑞士军刀
netcat瑞士军刀 1、nc简介3、从示例中学习2、命令格式及常用参数 1、nc简介 nc(netcat)是一个短小精悍、功能实用、简单可靠的网络工具,主要有如下作用: (1)端口侦听,nc 可以作为 server 以 TC…...
【征稿倒计时十天】第三届高性能计算与通信工程国际学术会议(HPCCE 2023)
【有ISSN、ISBN号!!往届均已完成EI检索】 第三届高性能计算与通信工程国际学术会议(HPCCE 2023) 2023 3rd International Conference on High Performance Computing and Communication Engineering (HPCCE 2023) 2023年12月22-24日 | 中国哈尔滨 第三…...
编程应用实际场景:台球厅怎么样用电脑给客人计时,台球计时收费系统操作教程
一、前言 准确控制顾客在店内游玩的时间,从而控制店内的各项成本,并提升店内的客流量。在顾客享受计时项目的时候,可以同时添加其他食物消费,并将单据合并统一结账。软件中的会员功能可以为客户办理会员可以使用灯控器控灯&#…...
云计算大屏,可视化云计算分析平台(云实时数据大屏PSD源文件)
大屏组件可以让UI设计师的工作更加便捷,使其更高效快速的完成设计任务。现分享可视化云分析系统、可视化云计算分析平台、云实时数据大屏的大屏Photoshop源文件,开箱即用! 若需 更多行业 相关的大屏,请移步小7的另一篇文章&#…...
高频js-----js执行机制 Event Loop
修改代码,让代码每隔1秒输出1-5 for (var i 0; i < 5;i) {setTimeout(() > {console.log(i)}, 1000)} 首先我们需要了解js的执行机制 (Event Loop) js是单线层,如果现在执行上面代码的话 会输出 5个5 这里不明白的同学可以去看一下我以前发布的关于EventLoop的文章 …...
恢复出厂设置后在 Android 上恢复照片的 6 种常用方法
恢复出厂设置可帮助您删除电子设备的所有信息并将其恢复到原始系统状态。但是,如果您不小心按下了恢复出厂设置按钮并从 Android 设备中删除了所有难忘的照片,该怎么办?好吧,您无需担心,因为可以通过以下一些方法来恢复…...
人工智能_机器学习065_SVM支持向量机KKT条件_深度理解KKT条件下的损失函数求解过程_公式详细推导_---人工智能工作笔记0105
之前我们已经说了KKT条件,其实就是用来解决 如何实现对,不等式条件下的,目标函数的求解问题,之前我们说的拉格朗日乘数法,是用来对 等式条件下的目标函数进行求解. KKT条件是这样做的,添加了一个阿尔法平方对吧,这个阿尔法平方肯定是大于0的,那么 可以结合下面的文章去看,也…...
网线市场现状与发展趋势预测
随着物联网、5G、云计算等技术的迅速发展,全球对于高速、稳定的网络需求急剧增长,这进一步推动了网线市场的发展。各种网络应用场景,从家庭到企业、数据中心到智能城市,都需要大量的高质量网线来支持数据传输和通信需求。本文将对…...
力扣二叉树--第四十一天
前言 写完这三道题,二叉树部分就先告一段落了。其实还有很多模糊的地方。 内容 一、修剪二叉搜索树 669. 修剪二叉搜索树 给你二叉搜索树的根节点 root ,同时给定最小边界low 和最大边界 high。通过修剪二叉搜索树,使得所有节点的值在[l…...
计算机视觉(P2)-计算机视觉任务和应用
一、说明 在本文中,我们将探讨主要的计算机视觉任务以及每个任务最流行的应用程序。 二、图像内容分类 2.1. 图像分类 图像分类是计算机视觉领域的主要任务之一[1]。在该任务中,经过训练的模型根据预定义的类集为图像分配特定的类。下图是著名的CIFAR…...
redis-学习笔记(Jedis zset 简单命令)
zadd & zrange zadd , 插入的第一个参数是 zset , 第二个参数是 score, 第三个参数是 member 成员 内部依据 score 排序 zrange 返回 key 对应的 对应区间内的值 zrangeWithScore 返回 key 对应的 对应区间内的值和分数 示例代码 zcard 返回 key 对应的 zset 的长度 示例代…...
uniapp实战 —— 弹出层 uni-popup (含vue3子组件调父组件的方法)
效果预览 弹出的内容 src\pages\goods\components\ServicePanel.vue <script setup lang"ts"> // 子组件调父组件的方法 const emit defineEmits<{(event: close): void }>() </script><template><view class"service-panel"…...
智能优化算法应用:基于平衡优化器算法3D无线传感器网络(WSN)覆盖优化 - 附代码
智能优化算法应用:基于平衡优化器算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用:基于平衡优化器算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.平衡优化器算法4.实验参数设定5.算法…...
Netty详细文档
Netty教程 文章目录 Netty教程 Netty简介Netty 的介绍Netty 的应用场景互联网行业游戏行业大数据领域其它开源项目使用到 Netty Netty 的学习资料参考 Java BIO编程I/O 模型BIO、NIO、AIO 使用场景分析Java BIO 基本介绍Java BIO 工作机制Java BIO 应用实例问题分析 Java NIO编…...
C语言结构体和位段
自定义类型:结构体及联合和枚举 一.结构体类型的声明1.1 结构体的概念1.2结构的声明1.3特殊的声明1.4结构体的自引用1.5可以使用typedef重命名 二.结构体变量的创建和初始化2.1结构体变量的初始化使用{}2.2初始化:定义变量的同时赋初值。2.3结构体嵌套及…...
【剑指offer|图解|数组】寻找文件副本 + 螺旋遍历二维数组
🌈个人主页:聆风吟 🔥系列专栏:数据结构、剑指offer每日一练 🔖少年有梦不应止于心动,更要付诸行动。 文章目录 一. ⛳️寻找文件副本(题目难度:简单)1.1 题目1.2 示例1.3 限制1.4 解题思路一c代…...
Python核心编程之文件和输入输出
目录 一、文件对象 二、 文件内建函数[open()和file()] 1、工厂函数 file() 2、通用换行符支持(UNS)...
Axure 9基本元件,表单及表格元件简介,表单案例
目录 一.基本元件 1.元件基本介绍 2.基本元件的使用 二.表单及表格元件 三.表单案例 四.简单简历绘制 一.基本元件 1.元件基本介绍 概述 - 在Axure RP中,元件是**构建原型图的基础模块**。 将元件从元件库里拖拽到画布中,即可添加元件到你的原型…...
ARM I2C通信
1.概念 I2C总线是PHLIPS公司在八十年代初推出的一种串行的半双工同步总线,主要用于连接整体电路2.IIC总线硬件连接 1.IIC总线支持多主机多从机,但是在实际开发过程中,大多数采用单主机多从机模式 2.挂接到IIC总线上,每个从机设备都…...
)
深入浅出:从原理到实践,手把手教你理解并校准RV1126 ISP的黑电平(BLC)
深入浅出:从原理到实践,手把手教你理解并校准RV1126 ISP的黑电平(BLC) 在数字图像处理领域,黑电平校准(Black Level Calibration, BLC)是一个看似简单却至关重要的环节。想象一下,当你用专业相机拍摄星空时…...
FRCRN开源模型多场景落地:客服录音净化、有声书制作、教学音频增强
FRCRN开源模型多场景落地:客服录音净化、有声书制作、教学音频增强 你有没有遇到过这样的烦恼?听一段重要的会议录音,背景里总有嗡嗡的空调声;想剪辑一段播客,却发现环境噪音怎么也去不干净;或者给孩子听网…...
StructBERT中文语义匹配实战:一键部署+可视化进度条,小白也能用
StructBERT中文语义匹配实战:一键部署可视化进度条,小白也能用 1. 工具概览:你的中文句子"CT扫描仪" 想象一下,你手上有两份用户反馈:"这个手机电池很耐用"和"这款设备续航能力超强"。…...
QueryExcel:解放双手的Excel批量查询神器,告别Ctrl+F的繁琐时代
QueryExcel:解放双手的Excel批量查询神器,告别CtrlF的繁琐时代 【免费下载链接】QueryExcel 多Excel文件内容查询工具。 项目地址: https://gitcode.com/gh_mirrors/qu/QueryExcel 在日常工作中,你是否也曾被海量Excel文件中的数据查找…...
Python偏函数partial的用法小结
functools.partial(func, /, *args, **keywords) 会返回一个新可调用对象,它把原函数 func 的部分位置参数和/或关键字参数“预先绑定”。 这样你就能得到一个“定制版”的函数,后续只需要补齐剩余参数即可调用。返回对象类型是 functools.partial 实例&…...
3个核心功能让视频创作者轻松提取硬字幕
3个核心功能让视频创作者轻松提取硬字幕 【免费下载链接】video-subtitle-extractor 视频硬字幕提取,生成srt文件。无需申请第三方API,本地实现文本识别。基于深度学习的视频字幕提取框架,包含字幕区域检测、字幕内容提取。A GUI tool for ex…...
tao-8k部署避坑指南:Xinference日志排查、WebUI访问与调用验证
tao-8k部署避坑指南:Xinference日志排查、WebUI访问与调用验证 1. 环境准备与快速部署 在开始部署tao-8k模型之前,我们先来了解一下这个模型的基本情况。tao-8k是由Hugging Face开发者amu研发并开源的专业文本嵌入模型,它能够将文本转换为高…...
3步掌控《缺氧》存档:用Oni-Duplicity打造理想殖民地
3步掌控《缺氧》存档:用Oni-Duplicity打造理想殖民地 【免费下载链接】oni-duplicity A web-hosted, locally-running save editor for Oxygen Not Included. 项目地址: https://gitcode.com/gh_mirrors/on/oni-duplicity 你是否曾因《缺氧》中复制人负面特质…...
赋能合作共赢——建设银行广东省茂名市分行:走进汽车经销商,开展金融知识普及活动
筑牢金融防线 赋能合作共赢——建行广东省茂名市分行走进重点合作汽车经销商,开展金融知识普及活动为进一步深化银企合作关系,履行金融机构社会责任,提升合作企业员工及客户的金融安全意识,切实保护金融消费者合法权益,…...
windows版vasp-6.5.1非Cygwin版
推荐使用oneapi版本,这个版本性能要好一点。 1.解压压缩包。 Gromacs&Vasp软.件.交.流:962946828 2.用VASP安装器添加系统环境变量(选择bin目录所在目录的父级目录)。 3.测试命令(在cmd或者powershell执行&#…...