最近一段时间一直在做winFE系统的相关调研,主要是在winFE系统下挂载外接设备这块,但是在百度里晃了半天也没有太多的相关资源,所以编写此篇博文,一来丰富自己,二来给他人一个参考。
什么是winFE,它和winPE有什么联系呢?
winFE 全称 Windows Forensic Environment,是取证用的winPE。
他和winPE的唯一区别就是修改了两个注册表键值,一个是"HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MountMgr",在这个项中添加一个DWORD类型,名称为NoAutoMount的键,键值为1;这个键值的作用是Mount-Manager服务不会自动挂载任何存储设备。第二个是"HKEY_LOCAL_MACHINE\system\ControlSet001\Services\partmgr\Parameters" ,它有一个键为"SanPolicy",把这个键值修改为3(原值为1),其中3表示全部脱机,1表示全部联机,为什么要脱机呢,因为一旦联机,磁盘属性变成可写状态,在可写的状态下系统会向磁盘写入4字节的控制代码,从而破坏原磁盘的数据位置,对于取证来说这个不确定因素影响太大,因为我们也不知道会不会把原数据破坏掉,所以取证环境下不能挂载需要取证的磁盘。
注册表修改转至winFE简单制作
但是我们有时候需要在PE环境下接入外接设备来运行某些程序或者拷贝取证磁盘,那么该怎么办呢?
如果你不用闪存设备(U盘,sd卡等),那么你可以直接用diskpart来挂载你的外接磁盘:
在cmd命令下面使用如下命令
diskpart
list disk
然后找到你的外接设备,比如disk 2
select disk 2
这样你就选择了你的外接磁盘
然后
online disk
这样你的磁盘就联机了,但这还没有结束
attribute disk clear readonly
这样就清除了磁盘的只读属性,否则你无法向磁盘写入数据。
然后继续
list volume
选择你刚才挂载磁盘的分区,比如是 volume 3
select volume 3
然后给分区一个盘符
assign Letter=E(也可以是其他字母,但是要保证未被使用)
这样你就可以使用你的外接磁盘了。
但是如果需要用到外接闪存设备怎么办?
你会发现用上述的方式似乎不行了,偶尔可以把闪存设备挂上去,但是大部分时间还是挂不上去的,
这个时候就需要用另一种方式了,
但是这个方式有一个要求,那就是这个制作FE的PE必须是win8及以上系统才行
记得上次我们修改的注册表键值吗?SanPolicy这个值我们把他设置成4
这时候你会发现所有的外接设备全部自动联机,你可以随便使用了,而且不需要再执行上面的命令。
sanpolicy=4 表示的是内部脱机
这意味着只有内置磁盘是脱机的,这为我们的取证带来了很大的便利,即不用担心会修改取证磁盘的数据,又可以很方便的进行取证工作,真是一举两得。