【Windows取证篇】Windows镜像仿真绕过开机密码技巧

最新推荐文章于 2024-03-16 15:08:59 发布
最新推荐文章于 2024-03-16 15:08:59 发布
阅读量3.7k 收藏 36
点赞数 1
分类专栏: # Windows取证 # 加解密 # 镜像仿真 文章标签: windows 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NDASH/article/details/110658905
版权

在电子取证中,遇到的是镜像格式,首先就需要镜像仿真进入系统,还经常会遇到系统有密码的情况,这一步很多人会选择同型号的系统镜像来替换,但是,系统镜像动辄4、5个GB大小,下载速度慢、修改步骤复杂,此篇介绍设置光驱启动的方法,加载PE镜像工具破解Windows系列密码 —【suy】

文章目录

一、DD镜像仿真

1、实验数据

1)Windows Server (2008 R2)DD镜像;
2)VMware 16 pro虚拟机;
3)Windows 10操作系统;
4)老毛桃PE

2、镜像仿真教程:【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真

二、虚拟机设置光驱启动

大部分人会选择设置U盘启动进PE,但案件往往不是一次就可以完成的,经常需要数周或数月,但U盘一直插着也不方便,而且每次开关机驱动器盘符都可能会变动,就需要再次设置BIOS,特别麻烦。
这里提供一个小技巧,那就是将包含密码破解的PE工具,制作成“ISO”镜像,开机直接进PE绕过密码,不用再每次开关机都进BIOS设置一遍。

(一)虚拟机添加PE工具ISO镜像

路径:编辑虚拟机设置->添加->CD/DVD(SATA)->使用ISO映像文件(M)
​ 虚拟机设置选择“使用ISO映像文件(M)”,加载制作好的PE工具。
在这里插入图片描述

(二)进BIOS设置“光驱”启动

由于U盘启动不是很方便,对于经常要分析的镜像,设置光驱启动后,就不用每次都再进BIOS设置了。

1、手速要快

​ 手速一定要快,不然很容易就跳过了BIOS直接进入到操作系统;
​ 左手按键盘,右手摸鼠标,鼠标点击的一刻,不断点击键盘F2键(其他快捷键可能为ESC、F8、F10、F12等)。

2、设置光驱启动

路径:“BIOS”->“Boot”->“CD-ROM Driver”->上移首位;

设置完成后,F10保存设置,重启虚拟机进入系统。
在这里插入图片描述

3、密码绕过

如果是服务器镜像,则密码清除这个操作不建议,它是通过修改路径:“\Windows\SYSTEM32\CONFIG”下的sam文件,容易导致服务器的数据库出现权限问题报错,后续修改起来还是比较麻烦的,所以服务器镜像优先选择绕过密码
在这里插入图片描述

4、自动重启进入系统

点击密码绕过之后会自动进入下面界面进行密码破解,成功后自动重启进入操作系统。(如果没有自动重启,而是一直该界面,则说明选择的密码绕过模式不对,没有破解密码成功,需重新选择其它项密码绕过。)
在这里插入图片描述

自动重启进入操作系统;(有时候会出现“Windows错误恢复”,选择正常启动Windows即可)。接着后点击虚拟机上方按钮将快捷键“CTRL+ALT+DELETE”发送到虚拟机,进入用户桌面。
在这里插入图片描述

再点击需要登录的用户,(可能提示输入密码,直接Enter键)即可进入操作系统桌面。
在这里插入图片描述

总结

注意看镜像系统类型,再结合实际需求来选择密码绕过、密码修改、或密码移除。

名称时间
最后编辑日期:2020 年 12 月 04 日
DFIR蘇小沐
关注
  • 1
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
E01镜像查看器
08-09
E01镜像查看工具。
VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试
03-27
NULL 博文链接:https://authware.iteye.com/blog/1170533
如何使用Vmware创建win7虚拟机超详细过程及破解与优化
2301_77578012的博客
03-16 1619
win7虚拟机快速安装、破解和优化。超详细
磁盘镜像工具
06-12
FTK Imager 是我最喜欢的镜像工具,功能强大,支持几十种镜像格式,E01、DD、L01、DMG、VMDK、VHD、AD1; FTK Imager 获取当前内存镜像、获取受保护的文件;
volatility内存取证软件,可用于windows环境下
09-20
不愿意使用kali的可以使用这个版本 The Volatility Framework is a completely open collection of tools, implemented in Python under the GNU General Public License, for the extraction of digital artifacts from volatile memory (RAM) samples. The extraction techniques are performed completely independent of the sys
镜像功能使用
02-16
制作和读取iso之类软件及解压iso音乐,因为总是找不到这类软件,所以放到这里方便自己也方便他人使用。。。。。
【电子取证:FTK Imager 】DD、E01系统镜像动态仿真
蘇小沐的电子数据取证博客
10-26 1万+
【电子取证:FTK Imager 】DD、E01系统镜像动态仿真 ​ 星河滚烫,人生有理想! ​ —【suy999】 文章目录【电子取证:FTK Imager 】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新
【Autopsy数字取证】Autopsy案例创建与镜像分析详细教程
蘇小沐的电子数据取证博客
12-04 6282
Autopsy是一款非常优秀且功能强大的免费开源数字取证分析工具。—【蘇小沐】以本地E01镜像做实验测试。【Autopsy数字取证】Autopsy数字取证软件的下载安装与优化配置—蘇小沐要创建案例,请使用欢迎屏幕上的"创建新案例"选项或"案例"菜单中的选项。这将启动新建案例向导。您需要为其提供案例的名称和用于存储案例结果的目录。您可以选择提供案例编号和审阅者姓名。软件启动界面如下,选择"新建案件"。 将案件名和存储路径填好后,方可进入下一步操作。 选填项可不填写,如果是正式案件,建议填写好,以便记录与回溯
Day01 安装虚拟机
cywdeboke的博客
07-23 677
装虚拟机(母镜像base+3台虚拟机ser1/ser2/ser3,1024/512/512,镜像6.5) 1.搭建yum仓库 (1)将6.5镜像移动到iso下 ,与7.0,7.2放在一起   (1)在/var/www/html下创建空目录rhel6.5,与7.0,7.2的目录在一起 (3)挂载6.5镜像,在iso路径下 挂完后,df检查是否挂载上
镜像取证】DD和E01镜像格式区别(简)
蘇小沐的电子数据取证博客
04-19 5148
DD和E01镜像
镜像取证】DD系统镜像仿真问题的一些补充说明
蘇小沐的电子数据取证博客
06-07 2895
​ 系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳。—【蘇小沐】Windows建议用专业版,功能全。这里的镜像是以电子取证而言的法证镜像,国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像,是将一个磁盘打包成一个单独的文件,可以随时还原到另一个磁盘上,是一种位对位的数据备份功能,其数据和原盘数据完全相同的副本(包括了有数据的部分和没有数据的部分),并非简单的复制粘贴,这也是为什么DD镜像可以恢复删除的数据最重要
Windows DFIR数字取证与事件响应
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全事件。DFIR流程通常包括以下几个关键步骤: 1. **准备阶段**: - 建立和训练一个专业的应急响应团队。 - 制定和维护应急...
取证工具-windows日志全部自动清除工具
最新发布
04-18
windows日志全部自动清除工具,全自动清除Windows全部的日志查看器中的日志记录,后台静默运行,无需安装,绿色软件
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
计算机研究 -基于Windows系统的计算机取证研究.pdf
06-26
计算机研究 -基于Windows系统的计算机取证研究.pdf
win10显示隐藏文件_怎样显示出电脑上的隐藏文件?
weixin_39588542的博客
10-24 514
计算机硬盘、USB或外接式硬盘上的文件和资料夹消失不见了?如果您没有从储存设备上删除,那么文件和资料夹可能感染病毒后被隐藏了,或者仅仅只是因为您没有权限查看Windows中隐藏的文件或资料夹。找到被隐藏的文件其实很简单,方法有三种:使用cmd命令提示字符、Windows控制面板和易我数据恢复软件免费版。显示隐藏文件的最佳办法简单了解文中提供的三种方法,从中选择最佳的显示隐藏文件方法。命令提示字符:...
【漏洞复现】大华-智慧园区综合管理平台-wpms-sendFaceInfo-远程命令执行
知黑而守白
02-04 525
大华智慧园区综合管理平台是一款基于云计算、大数据、人工智能等技术的智慧园区管理解决方案,可为园区提供运营管理、综合安防、便捷通行、协同办公等多项功能,帮助园区实现安全等级提升、工作效率提升、管理成本下降。大华智慧园区综合管理平台 sendFaceInfo 接口处存在远命令执行漏洞,使得攻击者可以通过构造特定的请求远程执行恶意代码。此漏洞可能导致攻击者获取系统权限、执行任意命令,严重威胁系统的机密性和完整性。
【电子取证镜像仿真】Linux镜像仿真、E01镜像取证
蘇小沐的电子数据取证博客
11-23 6912
【电子取证镜像仿真】Linux镜像仿真、E01镜像取证 主要是Linux镜像仿真(DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的”磁盘占用“,导致无法成功仿真的问题!—【suy】 文章目录【电子取证镜像仿真】Linux镜像仿真、E01镜像取证一、FTK Imager 挂载镜像1、FTK Imager“可写”模式*"注意一"!!!二、新建VMware虚拟机1、选择客户端镜像系统2、磁盘类型选择“SATA”*"注意二"!!!3、本地磁盘*"注意三"!!!4、
手动打开e01镜像文件并进行计算机取证
热门推荐
不忘初心,护天下安全!
02-28 2万+
每次开始一新的关于取证的博客,我必须要不断重复:真实性、关联性、合法性。 1.问题引入 在上电子取证课的时候,老师展示了一道题目,大意就是怀疑张三泄漏公司机密,泄密对象为6张灵猴的图片,现在对他的电脑进行证据固定,制作镜像文件为Disk.e01。经过证据固定及哈希计算,Disk.e01 MD5值为:F3EAAE7667BBB9E42F846408C65A7FBA。 首先我们需要明白一件事情...
windows单机取证软件使用
11-08
很抱歉,根据您提供的引用内容,无法直接回答关于Windows单机取证软件的使用。但是,我可以为您提供一些关于Windows取证的基本知识和一些常用的Windows取证工具。 Windows取证是指在Windows操作系统上进行的取证活动,目的是收集和分析与计算机相关的数字证据。Windows取证通常包括收集和分析文件系统、注册表、网络连接、进程和服务等信息。以下是一些常用的Windows取证工具: 1. EnCase:一款商业取证工具,可用于收集和分析Windows系统中的数字证据。 2. FTK Imager:一款免费的取证工具,可用于收集和分析Windows系统中的数字证据。 3. Autopsy:一款开源取证工具,可用于收集和分析Windows系统中的数字证据。 4. ProDiscover:一款商业取证工具,可用于收集和分析Windows系统中的数字证据。 5. X-Ways Forensics:一款商业取证工具,可用于收集和分析Windows系统中的数字证据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值