【Windows取证篇】Windows镜像仿真绕过开机密码技巧

最新推荐文章于 2024-03-13 09:10:10 发布
最新推荐文章于 2024-03-13 09:10:10 发布
阅读量4.2k 收藏 39
点赞数 2
分类专栏: # Windows取证 # 加解密 # 镜像仿真 文章标签: windows 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NDASH/article/details/110658905
版权

在电子取证中,遇到的是镜像格式,首先就需要镜像仿真进入系统,还经常会遇到系统有密码的情况,这一步很多人会选择同型号的系统镜像来替换,但是,系统镜像动辄4、5个GB大小,下载速度慢、修改步骤复杂,此篇介绍设置光驱启动的方法,加载PE镜像工具破解Windows系列密码 —【suy】

文章目录

一、DD镜像仿真

1、实验数据

1)Windows Server (2008 R2)DD镜像;
2)VMware 16 pro虚拟机;
3)Windows 10操作系统;
4)老毛桃PE

2、镜像仿真教程:【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真

二、虚拟机设置光驱启动

大部分人会选择设置U盘启动进PE,但案件往往不是一次就可以完成的,经常需要数周或数月,但U盘一直插着也不方便,而且每次开关机驱动器盘符都可能会变动,就需要再次设置BIOS,特别麻烦。
这里提供一个小技巧,那就是将包含密码破解的PE工具,制作成“ISO”镜像,开机直接进PE绕过密码,不用再每次开关机都进BIOS设置一遍。

(一)虚拟机添加PE工具ISO镜像

路径:编辑虚拟机设置->添加->CD/DVD(SATA)->使用ISO映像文件(M)
​ 虚拟机设置选择“使用ISO映像文件(M)”,加载制作好的PE工具。
在这里插入图片描述

(二)进BIOS设置“光驱”启动

由于U盘启动不是很方便,对于经常要分析的镜像,设置光驱启动后,就不用每次都再进BIOS设置了。

1、手速要快

​ 手速一定要快,不然很容易就跳过了BIOS直接进入到操作系统;
​ 左手按键盘,右手摸鼠标,鼠标点击的一刻,不断点击键盘F2键(其他快捷键可能为ESC、F8、F10、F12等)。

2、设置光驱启动

路径:“BIOS”->“Boot”->“CD-ROM Driver”->上移首位;

设置完成后,F10保存设置,重启虚拟机进入系统。
在这里插入图片描述

3、密码绕过

如果是服务器镜像,则密码清除这个操作不建议,它是通过修改路径:“\Windows\SYSTEM32\CONFIG”下的sam文件,容易导致服务器的数据库出现权限问题报错,后续修改起来还是比较麻烦的,所以服务器镜像优先选择绕过密码
在这里插入图片描述

4、自动重启进入系统

点击密码绕过之后会自动进入下面界面进行密码破解,成功后自动重启进入操作系统。(如果没有自动重启,而是一直该界面,则说明选择的密码绕过模式不对,没有破解密码成功,需重新选择其它项密码绕过。)
在这里插入图片描述

自动重启进入操作系统;(有时候会出现“Windows错误恢复”,选择正常启动Windows即可)。接着后点击虚拟机上方按钮将快捷键“CTRL+ALT+DELETE”发送到虚拟机,进入用户桌面。
在这里插入图片描述

再点击需要登录的用户,(可能提示输入密码,直接Enter键)即可进入操作系统桌面。
在这里插入图片描述

总结

注意看镜像系统类型,再结合实际需求来选择密码绕过、密码修改、或密码移除。

名称时间
最后编辑日期:2020 年 12 月 04 日
DFIR蘇小沐
关注
专栏目录
21FIC神秘比赛取证,综合性高,misc和取证结合,网站全新的docker架构,题目蛮有意思。
ntrybw的博客
03-29 2449
由于题目特殊,内部试题,检材必须私信我才能给,见谅见谅,真的是没办法,抱歉抱歉。案情一:警方收到受害者 A 报案称,其电脑感染勒索病毒,重要文件被病毒加密;经询问,A 称他在上网时,发现了一个帖子,其中有教程和“梯子”工具可以让他很方便的浏览境外网站,当他安装完成后,通过浏览器打开 google 网站后跳转到了一个色情网站,没有禁受住诱惑,A 点击了网站上的视频,播放视频需要下载播放器,当他下载完成并运行后,发现电脑重要文件被加密;
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
利用内存镜像爆破开机密码的两种方法
qq_47168481的博客
11-28 1299
passware分离出密码 mimikatz破解
镜像仿真Windows Server服务器镜像仿真
蘇小沐的电子数据取证博客
12-04 2606
Windows Server镜像仿真、vmdk镜像仿真 ​ 时间过得真快呀!–【suy999】 文章目录Windows Server镜像仿真、vmdk镜像仿真一、qemu-img镜像转换工具(一)raw、qcow2等镜像装换为vmdk1、RAW镜像转换命令二、VMware新建虚拟机1、新建虚拟机2、固件类型->"BIOS"*"注意一"!!!3、处理器、内存及其它配置4、磁盘类型->“IDE”*"注意二"!!!5、选择磁盘*“注意三”!!!6、完成创建虚拟机*添加硬盘7、打开虚拟机选择需
Windows环境取证
最新发布
stillaway的博客
03-13 1862
电子取证里的Windows环境取证
windows没有磁盘_Windows硬盘和内存镜像取证
weixin_39959569的博客
11-28 388
Windows硬盘和内存镜像取证Windows系统上,有winhex等神器,可以对本地硬盘和物理内存完成镜像取证等工作,但如何对远程的Windows系统的硬盘和物理内存数据进行集中的镜像取证呢?除了在本地镜像为文件外,本文将介绍一种方法,将更方便的完成远程Windows硬盘和物理内存的数据镜像取证。 准备工作一台被镜像取证的电脑运行的Windows系统一台要被镜像取证的电脑运行的Windows...
利用粘滞键绕过密码进入Windows
m0_59302403的博客
02-20 1254
1.在Windows粘滞键功能未关闭的情况下,连按五下shift键会执行粘滞键,即执行sethc.exe。2.将cmd.exe和sethc.exe的名称互换,使得连按五下shift键执行粘滞键变更为调用cmd窗口。3.重启,在开机登录界面输密码时,即可连按五下shift键调用cmd窗口,在cmd窗口中使用命令重置密码,从而实现绕过密码进入Windows。注意:需要关闭Windows自带的实时保护,否则系统会告警木马。
kvm导入windows镜像并破解密码
一点蓝的专栏
09-29 2255
环境:win7 + vmware + centos7 + kvm + windows。 过程: 装带破解密码的win10pe(装过另外版本的pe破密码不行): virt-install --name win --ram=2048 --vcpus=2 --os-type=windows --os-variant=win2k12r2 \ --cdrom=/home/XMPE2012.ISO --...
forensics - make virtual machine with E01[ewf] files on OSX ———— 电子取证 MAC OS平台仿真
your_olym的博客
10-20 775
电子取证 MAC OS平台仿真1挂载库安装osxfuselibewf功能快捷键2 虚拟机存储文件eqmu3 开始实验虚拟机导入如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 浏览了很多网站,基于OSX平台上的电子取证 工具很少,仿真实验室又不支持虚拟机,于是决定自己找办法,在OSX上直接仿真。 1挂载
绕过Windows系统开机密码工具“Kon Boot”(IMG镜像版、U盘版、光盘版)
buxianggandexianren的专栏
02-18 3082
下载地址: KonBoot1.0版:http://www.vdisk.cn/down/index/10025867 KonBoot1.1版:http://www.vdisk.cn/down/index/10025868 KonBootU盘版:http://www.vdisk.cn/down/index/10025866 ——其中1.0版包括IMG格式、以及ISO格式。
E01镜像查看器
08-09
E01镜像查看工具。
镜像功能使用
02-16
制作和读取iso之类软件及解压iso音乐,因为总是找不到这类软件,所以放到这里方便自己也方便他人使用。。。。。
第七届“蓝帽杯”初赛取证题目超详细解析,检材可以看我的下载资源,有百度网盘的分享链接
ntrybw的博客
08-26 2725
刚刚打完比赛,准备晚上写一下wp,刚好整理一下题目,ctf的题目一般都有,取证不一定,这里还是要感谢蓝猫,大规模取证题目,让警校大大获利,更加方便晋级。
wmctf2021 Flag Thief && 祥云杯 层层取证 && 陇剑杯 wifi && 羊城杯 辣鸡取证
weixin_45805993的博客
09-18 860
0x00我是菜鸡 这题算是做过的取证题里很复杂的了,拿出来复现一下 大部分内容参考了套神的博客,先贴在上面 https://blog.csdn.net/qq_42880719/article/details/120000111 0x01题解 因为没有取证大师,我这里先选择了用FTK挂载镜像 Hint:曾远程过其他电脑 从大神的博客学到这里大概有几种思路 1.default.rdp文件 2.注册表搜索Terminal Server Client 3.BMC 与bin缓存文件,可缓存远程桌面图片,文件位置:%
23年校赛
ntrybw的博客
04-23 1616
进入服务器模块,这是一个kali,我们需要对kali系统进行解析,这个虚拟机无法直接打开,显示确实了文件,然后火眼也没解析,有一个源虚拟机,有一个快照,然后火眼可以仿真,但是仿真之后仿真的是快照,所以这个廖师兄本意想考文件结构,对kali系统文件结构是否了解决定了我们是否可以做出这个题目。这里虚拟机提示是少一个文件,然后我比赛时候的做法是把这个文件补进去,然后把虚拟机修好了,其实师兄的建议是直接把快照删了,因为本来就是没有快照的,就是把vmsd删掉,就可以正常打开了。因此,计算机上一个簇的确切大小。
全国职业院校技能大赛网络建设与运维赛项赛题(一)
yuhongkui的专栏
04-30 3996
全国职业院校技能大赛网络建设与运维赛题(一)一、竞赛项目简介“网络建设与运维”竞赛共分 A.网络理论测试(从公布赛题模块一中随机抽取选择题70道,判断题30道);B.网络建设与调试;C.服务搭建与运维等三个模块。竞赛时间安排和分值权重见表1表 1 竞赛时间安排与分值权模块比赛时长分值模块一网络理论测试0.5小时10%模块二网络建设与调试6.5小时40%模块三服务搭建与运维50%合计7小时100%二、竞赛注意事项1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2.请根据大赛所提供的竞赛环境
怎样绕过计算机密码,windows电脑系统绕过密码登录的方法
weixin_33560311的博客
07-27 3681
第一步:进入windows错误修复模式,怎么进?在Windows启动时,就是启动电脑后显示Windows旗帜登录界面时按下主机的开关机键断电(把握好断电时机是成功与否的关键),人为造成异常关机之后,然后再开机就会出现这样的界面了。第二步:这时会出现自动修复界面,我们等待就好了。第三步:在扫描完之后,后弹出【启动修复】小窗口界面,窗口中选择“查看问题详细信息”,接着将滚动条拉下来,找到“如果无法获取...
【电子取证:FTK Imager 】DD、E01系统镜像动态仿真
热门推荐
蘇小沐的电子数据取证博客
10-26 1万+
【电子取证:FTK Imager 】DD、E01系统镜像动态仿真 ​ 星河滚烫,人生有理想! ​ —【suy999】 文章目录【电子取证:FTK Imager 】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新
【Autopsy数字取证】Autopsy案例创建与镜像分析详细教程
蘇小沐的电子数据取证博客
12-04 7841
Autopsy是一款非常优秀且功能强大的免费开源数字取证分析工具。—【蘇小沐】以本地E01镜像做实验测试。【Autopsy数字取证】Autopsy数字取证软件的下载安装与优化配置—蘇小沐要创建案例,请使用欢迎屏幕上的"创建新案例"选项或"案例"菜单中的选项。这将启动新建案例向导。您需要为其提供案例的名称和用于存储案例结果的目录。您可以选择提供案例编号和审阅者姓名。软件启动界面如下,选择"新建案件"。 将案件名和存储路径填好后,方可进入下一步操作。 选填项可不填写,如果是正式案件,建议填写好,以便记录与回溯
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值