【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证

最新推荐文章于 2024-06-04 17:30:09 发布
最新推荐文章于 2024-06-04 17:30:09 发布
阅读量7.2k 收藏 57
点赞数 8
分类专栏: # 镜像仿真 # Linux取证 电子取证 文章标签: linux 电子取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NDASH/article/details/109992377
版权

【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证

主要是Linux镜像仿真(DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的”磁盘占用“,导致无法成功仿真的问题!—【suy】

文章目录


​ 前篇"

"已经介绍了DD、E01镜像的仿真,
本文以Linux的E01镜像为例,进行镜像仿真!

一、FTK Imager 挂载镜像

​ FTK Imager官网链接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。

1、FTK Imager“可写”模式

1)选择“可写”模式! (路径:文件->Imager Mounting);
2)mount成功后,会在本地磁盘显示出新的分区,记住"驱动器号";

*“注意一”!!!

本地“磁盘管理”看是否显示挂载的磁盘,来确认镜像的挂载真实性,虚拟磁盘挂载的本地无法找到硬盘!!!
在这里插入图片描述

二、新建VMware虚拟机

VM官网链接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。

​ 注意几个关键点,实在不清楚的看这篇:https://blog.csdn.net/NDASH/article/details/109300477

1、选择客户端镜像系统

此镜像是Linux的Ubuntu系统,不清楚的也可以看FTK Imager 挂载起来的分区;
在这里插入图片描述

2、磁盘类型选择“SATA”

*“注意二”!!!

Linux系常选择“SATA、SCSI”,Windows Server常选择“IDE”;
在这里插入图片描述

3、本地磁盘

*“注意三”!!!

选择“使用物理磁盘”,选择 FTK Imager 挂载起来的对应驱动器号。
在这里插入图片描述

4、镜像成功仿真

到这里直接下一步即可完成虚拟机的创建了,出现的下图这些点击是就行了。
在这里插入图片描述
跑马灯
在这里插入图片描述
前面操作没问题的话,系统镜像就正常被启动起来了。
在这里插入图片描述

5、错误示范:

​ 从虚拟磁盘挂载的镜像,在磁盘管理里面并没有对应的磁盘,提示“物理磁盘已被占用”,无法进入系统!
在这里插入图片描述

结语

​ 注意“磁盘管理”里查看镜像是否已“真实”挂载到本地!

名称时间
最后编辑日期:2020 年 11 月 23 日
DFIR蘇小沐
关注
  • 8
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 10
    评论
专栏目录
Windows取证——隐藏术
记录并分享学习安全的知识点..
11-12 755
一、普通文件属性隐藏 方法一: 方法二: 破解隐藏文件方法: 二、畸形目录 (一)概念 (二)操作畸形目录 三、Windows系统保留字 四、不死僵尸木马 五、Windows驱动级文件隐藏 (一)驱动级文件隐藏的特点 (二)如何查看隐藏的文件
电子数据取证
weixin_51682441的博客
05-17 5722
电子数据取证 一、 取证工具: 火眼证据分析、火眼仿真取证大师 二、基础知识 Linux取证 目录说明 /bin 用所有用户使用的基本命令,cd、ls等保存在该目录下 /boot 系统引导核心和配置文件等 /etc 系统和应用程序的配置文件,例如:/etc/passwd 保存的是用户信息 /dev 包含所有的系统设备文件 /home 普通用户的个人文件,每个用户有一个目录,用户在自己的目录里具有完整的权限 /lib 存放系统最基本的共享链接和内核模块
镜像仿真】磁盘镜像仿真常见错误
蘇小沐的电子数据取证博客
05-09 635
记系统镜像仿真常见错误集---【蘇小沐】
镜像仿真】ESXi镜像仿真教程
最新发布
蘇小沐的电子数据取证博客
06-04 807
系统仿真是个很神奇的东西,他能让你开心玩,也能让你崩溃。真的是没想到还有用的上FTK Imager3.1版本的一天,上一次使用应该还是2020年的时候,也是遇到一个奇葩的镜像死活起不来,这次没想到在ESXi又遇上,而且我一直引以为傲的Arsenal Image Mounte主力居然也不行。书写片面,纯粹做个记录,有错漏之处欢迎指正。公众号回复关键词【ESXi】自动获取资源合集。!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】记录开始编辑:2024年 05月 06日‍。
E01镜像查看器
08-09
E01镜像查看工具。
镜像取证】DD和E01镜像格式区别(简)
蘇小沐的电子数据取证博客
04-19 6033
DD和E01镜像
linux更改文件(夹)权限或所有者
热门推荐
架构大师笔记
09-10 2万+
没有权限访问?不能写入?执行不了?了解linux的两大命令chmod和chown 这里简单介绍一下chmod: 你可以用ls -l命令查看当前目录下所有文件文件夹的信息: $ ls -l $ drwxr-xr-x. 4 hsowan root 39 Sep 10 13:08 software 根据这个结果,在这里先说几点: 1. 结果中的4表示第一级子目录数,...
磁盘镜像工具
06-12
FTK Imager 是我最喜欢的镜像工具,功能强大,支持几十种镜像格式,E01、DD、L01、DMG、VMDK、VHD、AD1; FTK Imager 获取当前内存镜像、获取受保护的文件;
FTK Imager磁盘镜像挂载神器
11-09
FTK Imager是一款在电子取证领域广泛使用的工具,它的主要功能是创建和处理磁盘镜像,以便在不破坏原始数据的情况下对存储介质进行分析。本文将深入探讨FTK Imager的重要特性、工作原理以及其在电子取证中的应用。 ...
内存镜像转储取证
01-13
总结来说,内存镜像转储取证是一项复杂而重要的任务,涉及到使用专业工具(如DumpIt.exe)捕获内存状态,再利用如Kali Linux中的Volatility或Rekall等工具进行深入分析,以揭示潜在的电子证据。这一过程对于网络安全...
内存取证工具 MAGNET RAM Capture
11-09
内存取证是信息安全领域中至关重要的一环,它涉及在系统运行时获取并分析内存中的数据,以寻找潜在的犯罪证据、安全漏洞或者恶意软件活动。MAGNET RAM Capture是一款专门用于此目的的专业工具,其小巧的体积(大约...
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts ...
19美亚团队赛刷题,1-61,91-105windows部分+RAID重组,细致学习,积极备战,希望与各位一起进步
ntrybw的博客
10-15 1万+
这是个人赛和团队赛的官方链接链接:https://pan.baidu.com/s/1wE1f32BESzOoGWaXTIdnYA?pwd=ybww 提取码:ybww --来自百度网盘超级会员V3的分享前言:昨天和队友匆匆忙忙刷了19团队赛,感觉很疲劳,很累,做题非常乏力,可能是我最近做题量比较大,然后又过于匆忙,今天反思了自己的浮躁,觉得以后做题还是要慢一点,博客解析要做到绝对细致,刷题效率和质量都要拿出来,我也会去完善我之前写的文章,做一个修订,对得起各位,一起学习,一起进步,大家美亚杯加油!总结:19美
使用 Linux 工具进行计算机取证
煜铭2011
06-15 8269
使用 Linux 工具进行计算机取证     本文通过介绍 Linux 系统工具(Ftkimage、xmount、Volatility、dd、netcat)来介绍使用计算机取证的方法和步骤。 硬盘数据的取证是指为了证据保全,确保取证工作造成数据丢失,在获取到证据介质后,首先要做的就是对介质数据进行全盘镜像备份。内存取证主要通过对内存数据及其缓存硬盘数据进行分析,提取那些对案件侦破可能有重要意义的
2021美亚杯(个人赛)练习记录
weixin_43140411的博客
09-25 1万+
2021美亚杯练习个人赛部分
电子取证:FTK Imager 】DD、E01系统镜像动态仿真
蘇小沐的电子数据取证博客
10-26 1万+
电子取证:FTK Imager 】DD、E01系统镜像动态仿真 ​ 星河滚烫,人生有理想! ​ —【suy999】 文章目录【电子取证:FTK Imager 】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新
【CTFshow 电子取证】 JiaJia-PC-1-2-3(图文详解)
jiming_wue的博客
02-19 1706
【CTFshow 电子取证】 JiaJia-PC-1-2-3 通过FTK Imager 和 VMware工具实现系统镜像的动态仿真,从中获取我们想要的信息
RAID重组——利用VMware和取证大师来重组
7ruth0hn的博客
08-24 3770
文章目录RAID重组取证大师技巧RAID的识别2018美亚杯重组过程——利用vmware重组 RAID重组 关于RAID磁盘阵列的基础知识就不说了,网上都有。这里主要说明一下重组的步骤。 取证大师技巧 RAID的识别 如果添加RAID时无法“自动计算磁盘序列”,即无法识别磁盘时,我们可以先按添加镜像的方式来创建案例先进行分析, 然后发现: 再对有感叹号的右键->扫描磁盘结构即可得到radi5 再对新出来的右键->raid重组即可看到磁盘同步顺序和条带大小 再对新出的带感叹号的进行磁盘结构的扫
如何把e01挂载到系统上?
weixin_42577243的博客
01-07 1980
要把 E01 文件挂载到系统上,需要安装第三方软件,比如 EnCase、FTK Imager 或 Autopsy。 安装完软件后,打开软件,选择「文件」>「打开」,然后浏览到 E01 文件所在的位置,选择它并点击「打开」。 软件会自动挂载 E01 文件并显示它的内容。您可以像浏览普通文件一样浏览 E01 文件中的内容。 注意:E01 文件是用来存储磁盘映像的常用格式,它是被设计用来用于数据取...
223TJ智网杯电子数据取证比武团体赛60页WP,不能再详细了
03-04
共五个检材 检材1:服务器镜像 检材2:windows镜像 检材3/检材4:ESXi镜像 检材5:手机镜像 1. 请计算检材一(检材1.E01)镜像文件的SHA256哈希值为? 2. 分析检材一,其操作系统的内核版本为? 3. 分析检材一,该服务器IP地址为? 4.分析检材一,监听80端口的程序名称为 5.分析检材一,mysql数据库版本号为? 6.检材一内商场网站所使用的web配置文件名为? 7.检材一服务器中宝塔面板的安全入口为? 8.检材一服务器宝塔面板数据库tpshop2.0的默认密码是? 9.检材一服务器中共包含多少个网站?(答案格式:10) 10.依据服务器管理员描述,当前网站运行期间服务器会持续抓包,该数据包名称为? 11.分析上述数据包,发现违法攻击者对内网IP进行扫描所使用的工具名称是? 12.检材一中某网站被入侵,该网站的域名为? 13.检材一中被入侵网站的后台登录密码加密过程方式使用的盐值为 14.检材一服务器受到攻击的来源IP是多少? 15.分析检材一,攻击者在何时成功写入了一句话木马?(格式:2021-01-01 21:30:01)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值