【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证

【电子取证:镜像仿真篇】Linux镜像仿真、E01镜像取证

主要是Linux镜像仿真(DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的”磁盘占用“,导致无法成功仿真的问题!—【suy】


​ 前篇"

"已经介绍了DD、E01镜像的仿真,
本文以Linux的E01镜像为例,进行镜像仿真!

一、FTK Imager 挂载镜像

​ FTK Imager官网链接:“https://accessdata.com/product-download/ftk-imager-version-4-5”。

1、FTK Imager“可写”模式

1)选择“可写”模式! (路径:文件->Imager Mounting);
2)mount成功后,会在本地磁盘显示出新的分区,记住"驱动器号";

*“注意一”!!!

本地“磁盘管理”看是否显示挂载的磁盘,来确认镜像的挂载真实性,虚拟磁盘挂载的本地无法找到硬盘!!!
在这里插入图片描述

二、新建VMware虚拟机

VM官网链接:“https://www.vmware.com/products/workstation-pro/workstation-pro-evaluation.html”。

​ 注意几个关键点,实在不清楚的看这篇:https://blog.csdn.net/NDASH/article/details/109300477

1、选择客户端镜像系统

此镜像是Linux的Ubuntu系统,不清楚的也可以看FTK Imager 挂载起来的分区;
在这里插入图片描述

2、磁盘类型选择“SATA”

*“注意二”!!!

Linux系常选择“SATA、SCSI”,Windows Server常选择“IDE”;
在这里插入图片描述

3、本地磁盘

*“注意三”!!!

选择“使用物理磁盘”,选择 FTK Imager 挂载起来的对应驱动器号。
在这里插入图片描述

4、镜像成功仿真

到这里直接下一步即可完成虚拟机的创建了,出现的下图这些点击是就行了。
在这里插入图片描述
跑马灯
在这里插入图片描述
前面操作没问题的话,系统镜像就正常被启动起来了。
在这里插入图片描述

5、错误示范:

​ 从虚拟磁盘挂载的镜像,在磁盘管理里面并没有对应的磁盘,提示“物理磁盘已被占用”,无法进入系统!
在这里插入图片描述

结语

​ 注意“磁盘管理”里查看镜像是否已“真实”挂载到本地!

名称时间
最后编辑日期:2020 年 11 月 23 日
电子取证是指通过获取和保留电子设备上的证据来支持并调查犯罪活动或与法律案件有关的事务。而E01文件则是一种用于存储电子取证数据的格式。 E01文件是一种被广泛应用于数字取证领域的文件格式,它是由经过认证的取证工具创建的镜像文件E01文件可以包含磁盘、存储介质或设备的完整副本和元数据,可包含各种类型的数据,如文档、图片、音频和视频文件。 使用E01文件的主要目的是确保取证数据的完整性和可靠性。具有取证工具的授权专业人员可以通过创建E01文件来获取目标设备的镜像,而不会对原始数据造成任何修改或删除。这意味着E01文件是一种“只读”格式,任何以后的修改不会对存储的证据产生影响。 通过E01文件取证人员能够以安全和保护的方式分析和检查原始证据。他们可以使用取证工具对E01文件进行搜索、过滤和还原操作,以发现潜在的证据并重建目标设备的文件系统。此外,E01文件还提供了很强的加密和密码保护功能,以确保存储的证据不会被未经授权的人员访问。 总之,E01文件电子取证中常用的一种格式,用于存储原始证据的完整副本和元数据。它确保了证据的完整性和可靠性,并提供了安全的方式进行进一步分析和检查。由于其重要性和广泛适用性,E01文件已成为电子取证工作中不可或缺的一部分。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值