【镜像仿真篇】磁盘镜像仿真常见错误

最新推荐文章于 2024-06-27 15:44:56 发布
最新推荐文章于 2024-06-27 15:44:56 发布
阅读量815 收藏 7
点赞数 4
分类专栏: # 镜像仿真 计算机取证 电子取证 文章标签: 电子取证 计算机取证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NDASH/article/details/138631743
版权

【镜像仿真篇】磁盘镜像仿真常见错误

记系统镜像仿真常见错误集—【蘇小沐】

1、实验环境

2023AFS39.E01(Windows11系统镜像)
Arsenal Image Mounter,[v3.10.262]‍
Vmware Workstation 17 Pro,[v17.5.1]
Windows 11 专业工作站版,[23H2(22631.3447)]

(一)虚拟机报错:物理磁盘已被使用

【无系统界面:物理机本机系统环境导致的虚拟机功能报错】

此处主要是物理机本机系统环境配置等导致的虚拟机报错,一般是直接启动虚拟机就提示各种报错,并无法进入到磁盘系统镜像的任何界面。

1、物理磁盘已被使用

虚拟机配置完成,启动虚拟机时直接报错:“物理磁盘已被使用,打不开盘"xxx"或它所依赖的某个快照磁盘。模块"Disk"启动失败。未能启动虚拟机。”

物理磁盘已被使用。

打不开盘"E:\VM2023AFS\2023AFS.vmdk"或它所依赖的某个快照磁盘。

模块"Disk"启动失败。未能启动虚拟机。

图片

2、资源监视器:查找占用进程

快捷键Win+R打开运行,输入"resmon"进入资源管理器。

图片

资源监视器中选择"CPU",在关联的句柄中输入被占用的"磁盘/分区盘符+英文冒号"查询。

【路径:资源监视器->CPU->关联的句柄】

图片

直接管理器结束占用的任务(一般不需要重启电脑,但可能需要重启VM虚拟机)。结束占用的程序后再刷新可看到磁盘不再被占用。

我这个是因为Listary最新版更新了自动索引功能,导致的磁盘占用。

图片

(二)界面常见报错:No Media、unsuccessful

系统界面报错:虚拟机配置过程镜像出错

挂载磁盘镜像,按步骤创建好虚拟机后,能进入创建好的虚拟机系统界面。

其实系统界面报错很明显了:当时一直忽略了这个重要信息,这个并非是物理机本机系统环境出错,而应该是创建磁盘镜像虚拟机时选择的参数出错,不然进不了镜像的系统配置界面。以下是常遇到的进不了系统界面的截图,常见界面报错有"NUME:No Media"、“SATA:No Media”、"SATA:unsuccessful"等。

1、NUME:No Media

图片

2、SATA:No Media

图片

3、SATA:unsuccessful

图片

(三)计算机系统镜像挂载报错Volume Shadow Copy

原因是:Windows操作系统中的"Microsoft Software Shadow Copy Provider"和"Volume Shadow Copy"这两项服务未开启。报错如下:

图片

开启"管理卷影复制"服务

可以直接搜索服务,进入到服务管理页面开启相关服务。

图片

1、启动"Microsoft Software Shadow Copy Provider"服务

“Microsoft Software Shadow Copy Provider"功能描述:启动"管理卷影复制服务”,管理卷影复制服务制作的基于软件的卷影副本。如果该服务被停止,将无法管理基于软件的卷影副本。如果该服务被禁用,任何依赖它的服务将无法启动。

图片

开启"Microsoft Software Shadow Copy Provider"服务,并设置为自动启动。

图片

2、启动"Volume Shadow Copy"服务

"Volume Shadow Copy"功能描述:管理并执行用于备份和其它用途的卷影复制。如果此服务被终止,备份将没有卷影复制,并且备份会失败。如果此服务被禁用,任何依赖它的服务将无法启动。(必要时设置开机自启)

图片

开启"Volume Shadow Copy"服务,并设置为自动启动。

图片

(四)【扩展】VMware挂载物理磁盘提示被占用

【扩展】如果是物理机本地创建的虚拟机(非镜像挂载)提示磁盘被占用可尝试以下方法

VM虚拟机挂载本地物理磁盘、虚拟机镜像数据位置发生移动等提示被占用的解决方法 。当vmware启动时,提示物理磁盘已被使用,模块“disk”启动失败,未能启动虚拟机。(操作前先备份数据!!!数据无价,实验都是使用的数据副本来操作)

1、删除.lck的文件或者文件夹

删除.lck的文件或者文件夹。

图片

2、修改.vmx文件

找到虚拟机所在的目录,将 .vmx文件打开,将文件vmci0.present = "TRUE"改为 vmci0.present = “FALSE”。

图片

将文件vmci0.present = "TRUE"改为 vmci0.present = “FALSE”。

图片

3、关闭虚拟机镜像所在盘的pagefile.sys文件

模块“disk”启动失败可能的原因是磁盘上面有pagefile.sys文件,这个是windows的页面文件,只要windows启动,一直会被占用。

【路径:右击桌面我的电脑->属性->高级系统设置->高级->性能设置->高级->虚拟内存更改->把vmdk所在的磁盘分区文件设置为无,重启电脑即可】

(1)查看高级系统设置

【路径:右击桌面我的电脑->属性->高级系统设置->高级->性能设置->高级->虚拟内存更改->把vmdk所在的磁盘分区文件设置为无,重启电脑即可】

图片

进入到系统属性的高级设置,点击性能设置,进入性能设置的高级设置,再点击虚拟内存更改。

【路径:系统属性->高级->(性能)设置->高级->(虚拟内存)更改】

图片

(2)去掉"自动管理所有驱动器的分页文件大小(A)"

去掉勾选虚拟内存的"自动管理所有驱动器的分页文件大小(A)",主要是对磁盘系统镜像所在的分区的虚拟内存进行更改设置。

图片

去掉显示。如果磁盘系统镜像所在的分区是系统分区(一般是本机的C分区),记得点击虚拟内存的"设置"应用,不然可能更改不成功。

图片

(3)重新启动计算机

要使系统属性改动生效,需要重新启动计算机。

图片

图片

总结

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词【镜像仿真】自动获取资源合集。

【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】

【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】

记录

开始编辑:2024年 04月 18日‍

最后编辑:2024年 04月 21日

【往期精彩回顾】

图片

▲ 【FTK Imager篇】FTK Imager制作镜像详细教程

图片

 【镜像仿真篇】DD、E01系统镜像仿真教程

图片

▲ 【镜像仿真篇】Linux镜像仿真、E01镜像取证

DFIR蘇小沐
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
磁盘镜像工具
06-12
FTK Imager是一款专业的磁盘镜像工具,广泛应用于法医调查、数据恢复以及系统备份等领域。这款软件由AccessData公司开发,以其高效、稳定和兼容性广而受到业界好评。下面将详细介绍FTK Imager的功能特点、使用场景...
VFC 1.2.4.3 虚拟磁盘/镜像加载仿真工具测试
03-27
总的来说,VFC是一个强大的工具,它为用户提供了一种便捷的方式来管理和使用虚拟磁盘镜像。无论是软件开发者、系统管理员还是技术爱好者,都能从这款开源工具中受益。通过深入研究源码,我们可以更好地理解虚拟化...
原创:解决VMware物理磁盘已被使用的问题
users_csdn的博客
03-16 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
电子取证镜像仿真】Linux镜像仿真、E01镜像取证
蘇小沐的电子数据取证博客
11-23 7349
电子取证镜像仿真】Linux镜像仿真、E01镜像取证 主要是Linux镜像仿真(DD、E01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的”磁盘占用“,导致无法成功仿真的问题!—【suy】 文章目录【电子取证镜像仿真】Linux镜像仿真、E01镜像取证一、FTK Imager 挂载镜像1、FTK Imager“可写”模式*"注意一"!!!二、新建VMware虚拟机1、选择客户端镜像系统2、磁盘类型选择“SATA”*"注意二"!!!3、本地磁盘*"注意三"!!!4、
解决删除快照后启动虚拟机显示指定的文件不是虚拟磁盘 打不开磁盘“路径”或它所依赖的某个快照磁盘。 模块“disk”启动失败。 未能启动虚拟
最新发布
lwxvgdv的博客
06-27 694
指定的文件不是虚拟磁盘 打不开磁盘“e:\1.虚拟机\vm2\centos 7 64 位-cl1-000003-s019.vmdk”或它所依赖的某个快照磁盘。然后想了想,提示打不开磁盘路径或它所依赖的某个快照磁盘,是不是说明除了虚拟磁盘以外的都没有问题,然后看了看虚拟机配置,发现除了磁盘不显示以外其他都能正确显示。于是我就重新再这台虚拟机上再创建一个磁盘,然后把报错的磁盘删除了,然后就好了!今天删除虚拟机无用的快照的时候突然发现k8s集群的一台虚拟机打不开了并且也不能返回快照 报错如下。
vmware 添加物理磁盘 报错:物理磁盘已被使用
热门推荐
redbull_250ml的专栏
04-25 3万+
vmware 添加物理磁盘 报错:物理磁盘已被使用 xxxxxx 或它所依赖的某个快照磁盘 有几种可能: 1,虚拟机非正常关闭,导致有遗留.lnk文件, -->解决:搜索虚拟机目录下(如:winXp_64bit)所有.lnk文件.并删除. 2,此条重要,目前网上没有资料提到这一点:添加的物理磁盘确实被占用了. -->解决:打开任务管理器,强行关迅雷,svn,网盘,等可能后台访问硬盘或
镜像取证】DD系统镜像仿真问题的一些补充说明
蘇小沐的电子数据取证博客
06-07 3129
​ 系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳。—【蘇小沐】Windows建议用专业版,功能全。这里的镜像是以电子取证而言的法证镜像,国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像,是将一个磁盘打包成一个单独的文件,可以随时还原到另一个磁盘上,是一种位对位的数据备份功能,其数据和原盘数据完全相同的副本(包括了有数据的部分和没有数据的部分),并非简单的复制粘贴,这也是为什么DD镜像可以恢复删除的数据最重要
镜像取证仿真碎片-记一次镜像仿真失败的复盘过程
蘇小沐的电子数据取证博客
05-06 1121
这个是很久以前的一个镜像实验,当时仿真可以看到Windows的启动界面,但却一直无法正常进入系统,不断的尝试修复,都是显示错误,最后把类型改为IDE后,成功仿真进入系统---【蘇小沐】
电子取证:FTK Imager 】DD、E01系统镜像动态仿真
蘇小沐的电子数据取证博客
10-26 1万+
电子取证:FTK Imager 】DD、E01系统镜像动态仿真 ​ 星河滚烫,人生有理想! ​ —【suy999】 文章目录【电子取证:FTK Imager 】DD、E01系统镜像动态仿真一、DD、E01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新
计算机取证磁盘镜像研究与虚拟仿真实现_李继伟.caj
12-04
计算机取证磁盘镜像研究与虚拟仿真实现_李继伟.caj
如何利用EVE导入镜像.docx
05-25
EVE-NG的独特之处在于其广泛的支持性,允许用户将不同虚拟磁盘格式(如qcow2)的镜像导入到该平台上,从而实现各种网络场景的模拟。 Dynamips是EVE-NG中用于运行思科标准IOS镜像的组件,主要支持思科1710、3725和...
镜像功能使用
02-16
制作和读取iso之类软件及解压iso音乐,因为总是找不到这类软件,所以放到这里方便自己也方便他人使用。。。。。
qemu x86_vesa仿真
09-21
将深入探讨"qemu x86_vesa仿真"这一主题,以及如何在Linux内核4.11版本下进行配置和使用。 首先,`x86_vesa`是指QEMU使用VESA(Video Electronics Standards Association)图形模式来仿真一个x86系统。VESA是一...
镜像仿真】Windows Server服务器镜像仿真
蘇小沐的电子数据取证博客
12-04 2417
Windows Server镜像仿真、vmdk镜像仿真 ​ 时间过得真快呀!–【suy999】 文章目录Windows Server镜像仿真、vmdk镜像仿真一、qemu-img镜像转换工具(一)raw、qcow2等镜像装换为vmdk1、RAW镜像转换命令二、VMware新建虚拟机1、新建虚拟机2、固件类型->"BIOS"*"注意一"!!!3、处理器、内存及其它配置4、磁盘类型->“IDE”*"注意二"!!!5、选择磁盘*“注意三”!!!6、完成创建虚拟机*添加硬盘7、打开虚拟机选择需
windows取证镜像取证仿真步骤
kernweak的博客
06-19 1万+
工具使用 取证工具:winhex,FTK Imager,VMware-converter 挂载工具:Arsenal-Image-Mounter-v3.1.107 简介 在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方主机上安装任何软件,所以只能使用winhex,或者FTK,但是winhex在本人非盘对盘对拷试验时,无法挂载,
vmware中mount的小问题:mount: no medium found on /dev/sr0
chao199512的博客
11-25 3429
问题阐述: [root@linuxprobeyum.repos.d]# mount -o loop/dev/cdrom /media/cdrom mount: no medium found on /dev/sr0 解决方法: 对应的虚拟机右键---->设置——硬件——CD/DVD——设备状态的“已连接”和“启动时连接“都勾选就可以了,两个空格都选上就可以了。 ...
VMware虚拟机与本地主机进行磁盘共享(详解)
love_wgll的博客
02-28 1万+
VMware虚拟机与本地主机进行磁盘共享
【Autopsy数字取证】Autopsy案例创建与镜像分析详细教程
蘇小沐的电子数据取证博客
12-04 6941
Autopsy是一款非常优秀且功能强大的免费开源数字取证分析工具。—【蘇小沐】以本地E01镜像做实验测试。【Autopsy数字取证】Autopsy数字取证软件的下载安装与优化配置—蘇小沐要创建案例,请使用欢迎屏幕上的"创建新案例"选项或"案例"菜单中的选项。这将启动新建案例向导。您需要为其提供案例的名称和用于存储案例结果的目录。您可以选择提供案例编号和审阅者姓名。软件启动界面如下,选择"新建案件"。 将案件名和存储路径填好后,方可进入下一步操作。 选填项可不填写,如果是正式案件,建议填写好,以便记录与回溯
win11 vmware 显示 “未能启动虚拟机“ 解决办法
qq_43038348的博客
06-02 1万+
vmware 启动虚拟机 报错 未能启动虚拟机 解决办法
android手机镜像仿真
07-27
回答: 在Android手机上运行Windows系统镜像需要使用虚拟机软件。根据引用\[1\]的结论,要让Android手机流畅运行Windows系统,需要将Android手机的CPU变成x86架构的,或者将Windows系统编译成ARM架构的版本,并使用基于同构虚拟的技术来克服异构虚拟的性能差距。然而,根据引用\[2\]的描述,考虑到现在的平板性能和传统电脑相比还有很大差距,通过虚拟机运行Windows系统会导致效率进一步下降。因此,在Android手机上运行Windows系统镜像可能会面临性能问题和效率下降的挑战。另外,如果想在C盘里面放东西,需要使用虚拟光驱软件来挂载系统镜像\[3\]。 #### 引用[.reference_title] - *1* *2* *3* [通过 Bochs 让高性能的 Android 手机流畅运行 Windows 虚拟机](https://blog.csdn.net/weixin_36358217/article/details/117558807)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值