【镜像取证篇】仿真碎片-记一次镜像仿真失败的复盘过程

最新推荐文章于 2024-06-04 17:30:09 发布
最新推荐文章于 2024-06-04 17:30:09 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: # 镜像仿真 # Windows取证 文章标签: 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NDASH/article/details/130536777
版权

【镜像取证篇】仿真碎片-记一次镜像仿真失败的复盘过程

这个是很久以前的一个镜像实验,当时仿真可以看到Windows的启动界面,但却一直无法正常进入系统,不断的尝试修复,都是显示错误,最后把类型改为IDE后,成功仿真进入系统—【蘇小沐】

文章目录

1、无法仿真成功

实验环境

Windows建议用专业版,功能全。

系统
Windows10专业版
VMware Workstation 16 Pro
FTK Imager

(一)FTK Imager挂载无法仿真

sata接口,430GB的机械硬盘,确定是win7系统,仿真一直无法正常进入系统,只能修复,显示错误,最后改为IDE,成功进入系统。

1、挂载成功、无法仿真

2、挂载成功、部分分区无法识别

在这里插入图片描述

镜像挂载区别
在这里插入图片描述

仿真显示如下,可以看到显示的是win7系统
在这里插入图片描述

3、快捷键F8进入高级启动选项

根据提示,进入高级启动选项,尝试修复计算机(不同的设备,快捷键可能有所不同)。
在这里插入图片描述

4、选择正常修复启动

显示"Windows错误恢复",当时只能是不断尝试。
在这里插入图片描述

可以进入开机界面,显示正在启动Windows,但其实还是无法正常进入系统。
在这里插入图片描述

显示"启动修复",启动修复正在检查系统问题…

会尝试修复,过程可能很慢。(但还是无法进入系统)
在这里插入图片描述

修复不成功,基本肯定是选择“磁盘类型”出错。建议重新仿真,选择其它磁盘类型继续尝试;考虑到是以前的老旧电脑,还是Windows7系统,所以选择了IDE。
在这里插入图片描述

(二)重新选择IDE类型,成功进入系统

正常进入了开机界面,可以看到有两个用户,Windows7旗舰版等信息。
在这里插入图片描述

总结

道路千万条,虽然花费了很多时间去尝试,但当你完成它的时候,内心是无比的放松。

书写片面,纯粹做个记录,有错漏之处欢迎指正。

著作所有权归作者 [蘇小沐] 所有,转载请注明文章出处

名称时间
开始编辑日期2021 年 01 月 06 日
最后编辑日期2023 年 05 月 06 日
DFIR蘇小沐
关注
专栏目录
Docker (二):镜像、容器导入导出与私有仓库搭建
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-17 5万+
🟢 Docker (二):镜像、容器导入导出与私有仓库搭建
Docker(七):Docker基础总结--超详细
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-07 4万+
🟢 Docker(七):Docker基础总结[docker3要素、docker安装配置、容器使用、镜像管理发布]
VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试
03-27
NULL 博文链接:https://authware.iteye.com/blog/1170533
【电子取证:FTK Imager 】DD、E01系统镜像动态仿真
蘇小沐的电子数据取证博客
10-26 1万+
【电子取证:FTK Imager 】DD、E01系统镜像动态仿真 ​ 星河滚烫,人生有理想! ​ —【suy999】 文章目录【电子取证:FTK Imager 】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新
镜像仿真】Windows Server服务器镜像仿真
蘇小沐的电子数据取证博客
12-04 2552
Windows Server镜像仿真、vmdk镜像仿真 ​ 时间过得真快呀!–【suy999】 文章目录Windows Server镜像仿真、vmdk镜像仿真一、qemu-img镜像转换工具(一)raw、qcow2等镜像装换为vmdk1、RAW镜像转换命令二、VMware新建虚拟机1、新建虚拟机2、固件类型->"BIOS"*"注意一"!!!3、处理器、内存及其它配置4、磁盘类型->“IDE”*"注意二"!!!5、选择磁盘*“注意三”!!!6、完成创建虚拟机*添加硬盘7、打开虚拟机选择需
镜像取证】DD系统镜像仿真问题的一些补充说明
蘇小沐的电子数据取证博客
06-07 3304
​ 系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳。—【蘇小沐】Windows建议用专业版,功能全。这里的镜像是以电子取证而言的法证镜像,国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像,是将一个磁盘打包成一个单独的文件,可以随时还原到另一个磁盘上,是一种位对位的数据备份功能,其数据和原盘数据完全相同的副本(包括了有数据的部分和没有数据的部分),并非简单的复制粘贴,这也是为什么DD镜像可以恢复删除的数据最重要
镜像仿真】ESXi镜像仿真教程
最新发布
蘇小沐的电子数据取证博客
06-04 1180
系统仿真是个很神奇的东西,他能让你开心玩,也能让你崩溃。真的是没想到还有用的上FTK Imager3.1版本的一天,上一次使用应该还是2020年的时候,也是遇到一个奇葩的镜像死活起不来,这次没想到在ESXi又遇上,而且我一直引以为傲的Arsenal Image Mounte主力居然也不行。书写片面,纯粹做个录,有错漏之处欢迎指正。公众号回复关键词【ESXi】自动获取资源合集。!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】录开始编辑:2024年 05月 06日‍。
Docker(四):容器数据卷与Dockerfile构建镜像(发布)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-30 4万+
🟢 Docker(四):容器数据卷与Dockerfile构建镜像(发布)
Ubuntu系统下载(清华大学开源软件镜像站)(ubuntu-20.04.1-desktop-amd64.iso)
热门推荐
Github主页:https://github.com/xinyangwy
10-02 34万+
清华大学开源网站镜像站网址:https://mirrors.tuna.tsinghua.edu.cn/ 进入之后在搜索框中搜索“ubuntu”
【微服务】springboot 构建docker镜像多模式使用详解
congge
05-26 4690
springboot 构建镜像多种模式使用详解
仿真迭代 | 仿真镜像升级,虚拟机也能跑到60FPS,搞ROS机器人开发,你总用得到
AMOVLAB(阿木实验室)
02-18 1389
在我们论坛或者群里的日常问答中,对于开发者而言问的最多的问题就是,编译环境问题,各自工具链安装不上。操作系统对于库的版本依赖比较严格,还有一些网络问题,对于有经验的开发者来说,安装开发环境也是一件非常麻烦的事情。以至于有个段子调侃:搞程序开发,安装开发工具环境用2天,实际开发2小时……对于很多新手来讲会走很多弯路,甚至是劝退。 阿木实验室尝试了各种方法来制作稳定可用的镜像,帮助大家提升研发效率。让大家不用把时间浪费在安装环境和其他的网络问题上,把更多的时间花在算法研究上。 这个开发环境集成了如下工具链: 1
【电子取证镜像仿真】Linux镜像仿真、E01镜像取证
蘇小沐的电子数据取证博客
11-23 7578
【电子取证镜像仿真】Linux镜像仿真、E01镜像取证 主要是Linux镜像仿真(DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的”磁盘占用“,导致无法成功仿真的问题!—【suy】 文章目录【电子取证镜像仿真】Linux镜像仿真、E01镜像取证一、FTK Imager 挂载镜像1、FTK Imager“可写”模式*"注意一"!!!二、新建VMware虚拟机1、选择客户端镜像系统2、磁盘类型选择“SATA”*"注意二"!!!3、本地磁盘*"注意三"!!!4、
镜像仿真】磁盘镜像仿真常见错误
蘇小沐的电子数据取证博客
05-09 1195
系统镜像仿真常见错误集---【蘇小沐】
【计算机取证镜像挂载利器-Arsenal Image Mounter
蘇小沐的电子数据取证博客
11-28 4964
【电子取证:计算机取证镜像挂载利器-Arsenal Image Mounter Arsenal Image Mounter是一款非常优秀的磁盘挂载工具,在Microsoft Windows中可以将磁盘映像的内容作为“真实磁盘”挂载到系统中。—【suy】 文章目录【电子取证:计算机取证镜像挂载利器-Arsenal Image Mounter一、Arsenal Image Mounter简介下载安装![在这里插入图片描述](https://img-blog.csdnimg.cn/202011282104
windows取证镜像取证仿真步骤
kernweak的博客
06-19 1万+
工具使用 取证工具:winhex,FTK Imager,VMware-converter 挂载工具:Arsenal-Image-Mounter-v3.1.107 简介 在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方主机上安装任何软件,所以只能使用winhex,或者FTK,但是winhex在本人非盘对盘对拷试验时,无法挂载,
电子取证-----仿真技术
m_de_g的博客
10-15 2621
电子取证-----仿真技术 一、FTK——镜像挂载 1.打开FTK,选择文件(file),然后选择Image Mounting 2.选择镜像,选择物理磁盘,选择可写文件,住挂载的盘符 二、VMware——仿真 1.使用VMware新建虚拟机,自定义,下一步 2.默认,下一步 3.稍后安装操作系统,下一步 4.选择适合自己的操作系统及对应的版本号,下一步 5.名称任取,选择安装位置,建议不要安装在系统盘,下一步 6.默认,下一步 7.默认,下一步 8.默认下一步即可 9.默认下一步安装即
ftk挂载镜像 加vm 实现仿真
qq_51233573的博客
01-24 4803
没有仿真软件怎么办,偶尔机会刷到一文章,使用ftk和vm进行仿真下面开始实际操作。 这里用到的软件 VMware Workstation 16 pro FTK Imager 这里我用的是中文版 一、使用ftk挂载出镜像 选择镜像加载 二、选择需要挂载的镜像 选择需要挂载的镜像 点击装载 加载方法选择 writable 装载完成后 映射的镜像列表会出现如上的磁盘挂载情况 此时需要注意第一个驱动器名称 后续使用vm的时候...
域用户更改密码提示拒绝访问_密码安全系列文章15:磁盘镜像文件加载获取密码...
weixin_39889214的博客
12-01 672
在某些情形下,通过磁盘复制机将物理计算机的磁盘进行拷贝,形成raw文件,这时需要对其硬拷贝的磁盘文件进行查看和获取密码,通过实际测试,可以通过AccessData FTK Imager加载磁盘文件进行查看,同时还可以通过StarWindConverter将raw文件转换为vmdk文件后,通过创建虚拟机加载该磁盘文件再现还原镜像。1.1.1安装AccessData FTK Imager软件FTK ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值