【镜像取证篇】DD系统镜像仿真问题的一些补充说明

最新推荐文章于 2024-09-15 21:58:44 发布
最新推荐文章于 2024-09-15 21:58:44 发布
阅读量3.4k 收藏 29
点赞数 7
分类专栏: 电子取证 # 镜像仿真 计算机取证 文章标签: 电子取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NDASH/article/details/125173673
版权

【镜像取证篇】DD系统镜像仿真问题的一些补充说明

​ 系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳。—【蘇小沐】

文章目录

实验环境

Windows建议用专业版,功能全。

系统版本
Windows11专业版21H2(22000.708);
VMware Workstation 16 Pro16.2.3 build-19376536;
FTK Imager4.5.0.3;

1、系统镜像

这里的镜像是以电子取证而言的法证镜像,国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像,是将一个磁盘打包成一个单独的文件,可以随时还原到另一个磁盘上,是一种位对位的数据备份功能,其数据和原盘数据完全相同的副本(包括了有数据的部分和没有数据的部分),并非简单的复制粘贴,这也是为什么DD镜像可以恢复删除的数据最重要的原因。

通常一个Windows的系统镜像文件是十几GB大小起步。而Linux的镜像文件会小一些,通常几个GB就可以,但通常Linux系统镜像是站库分离的,如果仿真成功后没有数据,要自己查看一些问题,每个镜像都不可能一样。后面会出一期专门介绍各种法证镜像文件的科普文

  • 位对位的数据复制;
  • 一个文件;

能系统仿真的首要前提是,镜像文件是完整的系统镜像,不清楚的可以先挂载镜像查看。
在这里插入图片描述

2、镜像挂载问题

并非所有的镜像都支持挂载,可在磁盘管理里面查看是否有挂载的对应磁盘。

  • 如NTFS的文件系统不支持苹果的APFS、HFS+等系统,使用FTK Imager挂载苹果镜像到window系统上也可能无法直接查看里面的数据内容等,需要其它特定软件,如APFS for Windows来挂载苹果的镜像。

  • 还有一些镜像是支持BitLocker加密的,所有挂载的时候,如果本机系统是家庭版(家庭版不支持BitLocker加密等功能),可能也会出现错误;

  • 所有说原因可能是多方面的,这方面可能需要一些软硬件的知识存储做支持来判断,每个人所使用的系统环境的不同都可能出现各种各样问题。
    在这里插入图片描述

3、权限问题

镜像仿真是会占用一定的空间和内存的,建议主机机器的性能配置强一些,仿真建议数据放在SSD盘,这样系统读取文件速度就会快很多,记得预留足够的空间。

  • 建议是主机本地管理员账户运行;
  • 建议FTK Image以管理员权限运行;
  • 建议Vmware虚拟机以管理员权限运行;
  • 不建议原始镜像文件放在主机系统盘(C盘);
  • 不建议虚拟机生成文件放在C盘;

4、镜像数据问题

这里的镜像文件是一个整体,并非镜像文件解压后的某个.dd文件而已。

  • 通常一个Windows的系统镜像文件是十几GB大小起步。
  • 而Linux的镜像文件会小一些,通常几个GB就可以,但通常Linux系统站库分离的居多,如果仿真成功后没有数据,要自己查看数据问题,没有数据的,找到数据的镜像文件,直接在虚拟机里面,添加设备把数据镜像挂载添加即可;每个镜像的环境都不可能一样,需要自己多想多操作。

5、镜像仿真卡死或等待时间过长

镜像仿真可能等待过程有点长,主要是取决于两个原因:

  • 仿真的主机性能限制,配置越高,一般仿真运行速度会越快。建议镜像文件复制一份副本到SSD盘,预留足够的空间,分配4GB以上的内存进行仿真实验。
  • 仿真配置出错,建议重新仿真。
  • 遇到无法连接虚拟设备sata0:1,因为主机上没有相应的设备您要在每次开启此虚拟机时都尝试连接此虚拟设备吗?

这一步并非绝对的错误,通常是Vmware虚拟机本机的体现,这一步一般直接选择是,跳过就行。只有在这一步跳过后还是无法进入系统!就要考虑一下自己的步骤是否有出错,镜像是否有问题等!!!
在这里插入图片描述

6、磁盘被占用问题

  • 不要从虚拟磁盘挂载镜像,会提示“物理磁盘已被占用”;是直接在本地主机挂载本地的镜像文件。
  • 还有一些可能是权限、本机系统环境等问题,可参考上面。

总结

因为现在硬件发展速度很快,很多的镜像文件它的原始数据盘可能是机械硬盘、SSD硬盘,还有因为不同版本的系统,支持的协议、硬件配置也不相同,就可能导致了虽然做出来的都是DD、E01等镜像,但仿真时所选择的一些参数会不一样!!!如越来越多的镜像看分区类型,如果显示EFI,固件类型只能选择“UEFI”,不能选择“BIOS”!!!否则也会出现以下报错,而且无法进入系统!!!

吐槽一句CSDN很多同质化或者抄袭的内容,还继续在这里写作只是因为这里的文档编辑功能及排版是用的比较顺手的一个,至于它的广告很多,我都是安装了插件直接都屏蔽掉的。

还有麻烦有问题,如答复解决后能说句谢谢!!!在这里写作其实没那么多动力,如果你觉得该文档对你有帮助,麻烦点赞收藏加关注,一键三连,既是更新的动力,也是更新的方向!
【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真
【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真
【FTK Imager篇】FTK Imager制作镜像详细介绍

【著作所有权归作者 蘇小沐 所有,转载请注明文章出处】

名称时间
开始编辑日期:2022 年 06 月 07 日
最后编辑日期:2022 年 06 月 07 日

在这里插入图片描述

DFIR蘇小沐
关注
专栏目录
14、磁盘镜像文件加载获取密码
weixin_44023460的博客
01-07 793
在某些情形下,通过磁盘复制机将物理计算机的磁盘进行拷贝,形成raw文件,这时需要对其硬拷贝的磁盘文件进行查看和获取密码,通过实际测试,可以通过AccessData FTK Imager加载磁盘文件进行查看,同时还可以通过StarWindConverter将raw文件转换为vmdk文件后,通过创建虚拟机加载该磁盘文件再现还原镜像。 14.1安装AccessData FTK Imager软件 FTK Imager 是免费的镜像工具,功能强大,支持几十种镜像格式,E01、DD、L01、DMG、VMDK、VHD、A
镜像仿真】ESXi镜像仿真教程
蘇小沐的电子数据取证博客
06-04 1361
系统仿真是个很神奇的东西,他能让你开心玩,也能让你崩溃。真的是没想到还有用的上FTK Imager3.1版本的一天,上一次使用应该还是2020年的时候,也是遇到一个奇葩的镜像死活起不来,这次没想到在ESXi又遇上,而且我一直引以为傲的Arsenal Image Mounte主力居然也不行。书写片面,纯粹做个记录,有错漏之处欢迎指正。公众号回复关键词【ESXi】自动获取资源合集。!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】记录开始编辑:2024年 05月 06日‍。
VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试
03-27
NULL 博文链接:https://authware.iteye.com/blog/1170533
全面解析取证技术:流量分析、内存镜像取证与磁盘镜像取证
最新发布
m0_57836225的博客
09-15 974
在数字时代,取证技术对于维护网络安全、解决法律纠纷以及保护个人和企业的权益至关重要。本文将深入探讨取证技术的三个主要方面:流量分析、内存镜像取证和磁盘镜像取证,为读者提供全面且系统的指南。
电子取证FTK Imager DD、E01系统镜像动态仿真
热门推荐
蘇小沐的电子数据取证博客
10-26 1万+
电子取证FTK Imager DD、E01系统镜像动态仿真 ​ 星河滚烫,人生有理想! ​ —【suy999】 文章目录【电子取证FTK Imager DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新
dd镜像制作
qq_45130445的博客
05-13 580
采用Etcher快速进行刷卡,工具下载地址:https://etcher.balena.io/, gitlab链接:https://github.com/balena-io/etcher,在release page中即可下载Linux版本。读取镜像和选择正确的设备即可进行刷卡。首先需要使用sudo fdisk -l 查看设备对应的分区(例如/dev/sda),之后利用dd指令构建镜像
Linux硬盘镜像获取与还原(dd、AccessData FTK Imager)
weixin_30530939的博客
05-26 2310
1、硬盘镜像获取工具:dd dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。 1.1 本地取数据 查看磁盘及分区 # fdisk -l 获取整个磁盘镜像文件 # dd if=需要拷贝的磁盘 of=/存储目录/镜像文件 (确保存储目录有足够的空间) 1.2 远程取硬盘数据· 克隆硬盘或分区的操作,不应在已经moun...
镜像仿真】Windows Server服务器镜像仿真
蘇小沐的电子数据取证博客
12-04 2625
Windows Server镜像仿真、vmdk镜像仿真 ​ 时间过得真快呀!–【suy999】 文章目录Windows Server镜像仿真、vmdk镜像仿真一、qemu-img镜像转换工具(一)raw、qcow2等镜像装换为vmdk1、RAW镜像转换命令二、VMware新建虚拟机1、新建虚拟机2、固件类型->"BIOS"*"注意一"!!!3、处理器、内存及其它配置4、磁盘类型->“IDE”*"注意二"!!!5、选择磁盘*“注意三”!!!6、完成创建虚拟机*添加硬盘7、打开虚拟机选择需
android dd data 分区,Android取证:使用ADB和DD对文件系统镜像
weixin_31554959的博客
05-27 694
从本文开始我将为大家带来一系列与数字取证相关的文章,并将重点关注移动设备方面的取证技术。在这文章中,我将为大家分享一些关于我对 Android 设备镜像采集的想法。在Android设备上,有两种我们可以执行的镜像采集类型:实时采集:在正在运行的设备上执行。通常,分析人员会使用各种 工具 获取root权限,并使用DD提取镜像;死采集:在设备上执行启动到另一个状态。例如,如果设备安装了Clockw...
E01镜像查看器
08-09
E01镜像查看工具。
磁盘镜像工具
06-12
FTK Imager是一款专业的磁盘镜像工具,广泛应用于法医调查、数据恢复以及系统备份等领域。这款软件由AccessData公司开发,以其高效、稳定和兼容性广而受到业界好评。下面将详细介绍FTK Imager的功能特点、使用场景...
Mac取证你需要了解的那些事!
CFLAB天宇宁达的博客
07-15 2675
1、苹果取证对工作人员基本能力的要求? 做苹果取证必须熟悉苹果设备,掌握苹果电脑的基本操作技能,掌握苹果电脑取证的注意事项。 2、勘查现场遇到苹果电脑第一步做什么? 3、苹果取证过程中需掌握的常用按键有哪些? 4、掌握如何进入Target目标磁盘模式对于取证有什么价值? 5、利用取证盘启动苹果电脑会遇到哪些常见问题? 6、苹果电脑镜像的常见格式有哪些? 7、启动苹果电脑的方法演变是怎么样的?哪个方法目前在取证中最适用呢? 等等
内存镜像转储取证
01-13
这个工具可以dump内存,将目前计算机的内存镜像保存为raw文件,然后方便使用kali中的取证工具进行取证分析。
镜像取证】VMware虚拟机配置文件取证
蘇小沐的电子数据取证博客
11-01 3860
镜像取证】VMware虚拟机配置文件取证 ​ 虚拟机取证中,通常主要关注.log、.vmdk、.vmem三个文件,里面包含虚拟机的大部分资料信息。—【suy】 测试环境 1、VMware® Workstation 16 Pro(V16.1.2 build-17966106) 2、Microsoft windows 11 专业版(V22000.282) 虚拟机挂起状态 虚拟机文件简介 序号 名称 内容 备注 01 .log 虚拟机-调试运行情况的日志记录;如文件创建、USB
尽量无损的复制系统———dd系统镜像
weixin_47919177的博客
11-09 2001
尽量无损的复制系统———dd系统镜像
镜像取证】qemu-img磁盘镜像转换神器
蘇小沐的电子数据取证博客
10-11 4915
镜像仿真】qemu-img磁盘镜像转换神器 转换磁盘镜像格式,便于仿真搭建–【suy】 文章目录【镜像仿真】qemu-img磁盘镜像转换神器一、qemu-img:磁盘镜像格式转换工具1、功能简介2、支持格式3、下载地址二、raw、qcow2等镜像装换为vmdk1、命令:./qemu-img convert -f raw NDASH.raw【源镜像路径】 -O vmdk NDASH.vmdk【输出镜像路径】2、转换后的镜像![在这里插入图片描述](https://img-blog.csdnimg.cn/
使用ADB和DD对文件系统镜像,Android取证
www_45zq_cn的博客
09-06 1831
从本文开始我将为大家带来一系列与数字取证相关的文章,并将重点关注移动设备方面的取证技术。在这文章中,我将为大家分享一些关于我对Android设备镜像采集的想法。在Android设备上,有两种我们可以执行的镜像采集类型: 实时采集:在正在运行的设备上执行。通常,分析人员会使用各种工具获取root权限,并使用DD提取镜像; 死采集:在设备上执行启动到另一个状态。例如,如果设备安装了Clockword...
镜像取证仿真碎片-记一次镜像仿真失败的复盘过程
蘇小沐的电子数据取证博客
05-06 1206
这个是很久以前的一个镜像实验,当时仿真可以看到Windows的启动界面,但却一直无法正常进入系统,不断的尝试修复,都是显示错误,最后把类型改为IDE后,成功仿真进入系统---【蘇小沐】
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值