【电子数据取证】E01、dd等文件如何手动仿真

最新推荐文章于 2024-08-28 09:29:32 发布
最新推荐文章于 2024-08-28 09:29:32 发布
阅读量358 收藏 2
点赞数 9
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longxintec/article/details/140664660
版权

文章关键词:电子数据取证、文件取证、手机取证

一、前言

数据取证和存储分析领域中,E01和DD文件格式是非常常见的磁盘映像文件。了解如何手动仿真这些文件格式,对于理解其结构和使用场景非常重要。本文将详细介绍如何手动仿真E01和DD文件格式。

二、实操演示

2.1 需要使用的软件

1、FTK Imager

2、VMware Workstation 17 PRO

2.2 FTK Imager挂载镜像

打开FTK,选择Image Mounting。

选择镜像文件 -> 加载方法选择:“Block Device / Writeable” -> 点击装载 -> 记住驱动号(Drive)。

挂载成功后,会在原来的镜像文件目录下,生成一个 .adcf文件,它是用来存放镜像虚拟写入的文件的。

2.3 VMware新建虚拟机

打开vmware,点击新建虚拟机。

选择自定义,点击下一步。

这里不用改,直接点击下一步。

选择稍后安装操作系统,点击下一步。

这里根据实际情况选择,我这个镜像文件是win10。

在之前FTK挂载处也能看出。

这里自行选择即可。

固件类型选择UEFI。

处理器和内存分配根据本机情况配置即可。

网络选择NAT模式。

I/O控制器选择推荐的即可。

虚拟磁盘类型选择SATA。

这里选择使用物理磁盘。

仿真成功

三、总结

总而言之,手动仿真 DD 和 E01 文件格式有助于理解其工作原理和内部结构。虽然专用工具简化了操作过程,但深入了解这些格式对于数据取证和存储分析工作至关重要。通过学习手动仿真,可以更好地应对复杂的数据恢复和取证任务。

龙信科技
关注
  • 9
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
美亚杯全国2018第四届电子数据取证竞赛-个人赛
05-02
本竞赛涵盖了电子取证的多个方面,包括MD5哈希值、硬盘分区、文件系统、簇群(cluster)大小、$MFT物理起始扇区位置、操作系统安装日期、用户唯一标识符、用户登录记录等,旨在测试电子取证专业人员的技能和技术。
电子数据取证的可信固定方法
02-23
在介绍传统电子数据固定方法的基础上,针对可信取证理念,给出电子数据静态属性可信的支撑框架和可信固定方法。运用DSA数字签名、时间戳技术,并结合基于证实数字签名的第3方保证方案,研究电子数据具体的可信固定...
电子取证:FTK Imager 篇】DDE01系统镜像动态仿真
蘇小沐的电子数据取证博客
10-26 1万+
电子取证:FTK Imager 篇】DDE01系统镜像动态仿真 ​ 星河滚烫,人生有理想! ​ —【suy999】 文章目录【电子取证:FTK Imager 篇】DDE01系统镜像动态仿真一、DDE01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新
电子取证-----仿真技术
m_de_g的博客
10-15 2538
电子取证-----仿真技术 一、FTK——镜像挂载 1.打开FTK,选择文件(file),然后选择Image Mounting 2.选择镜像,选择物理磁盘,选择可写文件,记住挂载的盘符 二、VMware——仿真 1.使用VMware新建虚拟机,自定义,下一步 2.默认,下一步 3.稍后安装操作系统,下一步 4.选择适合自己的操作系统及对应的版本号,下一步 5.名称任取,选择安装位置,建议不要安装在系统盘,下一步 6.默认,下一步 7.默认,下一步 8.默认下一步即可 9.默认下一步安装即
电子取证:镜像仿真篇】DDE01系统镜像动态仿真
热门推荐
蘇小沐的电子数据取证博客
10-26 1万+
电子取证:FTK Imager 篇】DDE01系统镜像动态仿真 ​ 星河滚烫,人生有理想! ​ —【suy999】 文章目录【电子取证:FTK Imager 篇】DDE01系统镜像动态仿真一、DDE01系统镜像动态仿真(一)使用到的软件1、FTK Imager (v4.5.0.3)2、VMware Workstation 15 Pro (v15.5.2)(二)FTK Imager 挂载镜像1、选择 Imager Mounting2、选择系统镜像挂载*"注意一"!!!(三)VMware新
电子取证:镜像仿真篇】Linux镜像仿真E01镜像取证
蘇小沐的电子数据取证博客
11-23 7447
电子取证:镜像仿真篇】Linux镜像仿真E01镜像取证 主要是Linux镜像仿真DDE01仿真相同),还介绍了特别特殊的一个情况,就是在虚拟磁盘里的镜像再挂载本地,出现的”磁盘占用“,导致无法成功仿真的问题!—【suy】 文章目录【电子取证:镜像仿真篇】Linux镜像仿真E01镜像取证一、FTK Imager 挂载镜像1、FTK Imager“可写”模式*"注意一"!!!二、新建VMware虚拟机1、选择客户端镜像系统2、磁盘类型选择“SATA”*"注意二"!!!3、本地磁盘*"注意三"!!!4、
电子数据取证标准 2014.docx
04-23
电子数据取证标准中,GB/T 29360-2012 电子物证数据恢复检验规程、GB/T 29361-2012 电子物证文件一致性检验规程、GB/T 29362-2012 电子物证数据搜索检验规程等国家标准,都是电子数据取证领域中的重要标准。...
电子数据取证分析师国家职业技能标准征求意见稿2022.docx
07-09
电子数据取证分析师主要从事电子数据的收集、提取、数据恢复及取证分析等工作。该职业需要具备良好的学习、观察、分析、推理和判断、表达、计算、色觉、视觉和行为能力,动作协调,心理健康。 2. 职业技能等级 ...
计算机电子数据取证总结
06-07
计算机电子数据取证是信息技术与法律交叉领域的重要组成部分,主要用于调查和分析数字设备中的电子数据,以确定事实真相或法律证据。在现代社会,大量的信息都存储在计算机和其他电子设备中,因此,掌握有效的取证...
多进程和多线程基础概念LINUX
2301_79109608的博客
08-22 1976
直接访问物理地址,会导致地址空间没有隔离,很容易导致数据被修改通过虚拟地址空间可以实现每个进程空间都是独立的,操作系统会映射到不用的物理地址区间,在访问时互不干扰.进程状态分为三个基本状态,即运行态,就绪态,阻塞态。在五态模型中,进程分为新建态、终止态,运行态,就绪态,阻塞态。并发:有限的 cpu 核芯的情况下 ,利用快速交替(时间片轮)执行来达到宏观上的同时执行。虚拟地址 : 虚拟地址并不代表真实的内存空间,而是一个用于寻址的编号。并行:在 cpu 多核的支持下,实现物理上的同时执行。
Linux 线程的控制 互斥与同步
qq_63145217的博客
08-23 1466
include //头文件sem_t sem;信号量的类型 信号量的变量。
虚拟内存和linux(操作系统八股文part1)
linjixia的博客
08-24 1282
八股之虚拟内存和Linux部分的笔记。
Linux中杀死占用某个端口的进程
最新发布
靖妖傩舞
08-28 398
选项表示强制终止进程,但这种方式可能会导致数据丢失或其他不良后果,所以在使用时要谨慎。确定要杀死的进程 PID。从上述步骤中获取到占用端口 9997 的进程 PID。
Linuxctags——R的使用
m0_71703182的博客
08-23 718
按下。
Linux 进程 | 进程优先级&进程的环境变量
TTKunn的博客
08-23 1633
本文主要内容为进程的优先级和进程的环境变量,其中含有查看进程、优先级概念、环境变量概念等详细内容
linux发邮件的操作流程和注意事项有哪些?
danplus的博客
08-23 631
掌握Linux发邮件的操作流程和注意事项,可以帮助你在Linux系统中高效、安全地发送邮件。AokSend:集成API与SMTP,Linux下一键高效发邮件,稳定可靠,营销自动化首选!
Linux-部署YUM仓库及NFS共享服务
qq_42520799的博客
08-25 1008
YUM仓库服务、NFS共享存储服务等
电子取证 e01文件
01-11
电子取证是指通过获取和保留电子设备上的证据来支持并调查犯罪活动或与法律案件有关的事务。而E01文件则是一种用于存储电子取证数据的格式。 E01文件是一种被广泛应用于数字取证领域的文件格式,它是由经过认证的取证工具创建的镜像文件E01文件可以包含磁盘、存储介质或设备的完整副本和元数据,可包含各种类型的数据,如文档、图片、音频和视频文件。 使用E01文件的主要目的是确保取证数据的完整性和可靠性。具有取证工具的授权专业人员可以通过创建E01文件来获取目标设备的镜像,而不会对原始数据造成任何修改或删除。这意味着E01文件是一种“只读”格式,任何以后的修改不会对存储的证据产生影响。 通过E01文件取证人员能够以安全和保护的方式分析和检查原始证据。他们可以使用取证工具对E01文件进行搜索、过滤和还原操作,以发现潜在的证据并重建目标设备的文件系统。此外,E01文件还提供了很强的加密和密码保护功能,以确保存储的证据不会被未经授权的人员访问。 总之,E01文件电子取证中常用的一种格式,用于存储原始证据的完整副本和元数据。它确保了证据的完整性和可靠性,并提供了安全的方式进行进一步分析和检查。由于其重要性和广泛适用性,E01文件已成为电子取证工作中不可或缺的一部分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值