windows没有磁盘_Windows硬盘和内存镜像取证

最新推荐文章于 2023-12-20 10:10:07 发布
最新推荐文章于 2023-12-20 10:10:07 发布
阅读量339 收藏 1
点赞数
文章标签: windows没有磁盘

Windows硬盘和内存镜像取证

在Windows系统上,有winhex等神器,可以对本地硬盘和物理内存完成镜像取证等工作,但如何对远程的Windows系统的硬盘和物理内存数据进行集中的镜像取证呢?除了在本地镜像为文件外,本文将介绍一种方法,将更方便的完成远程Windows硬盘和物理内存的数据镜像取证。

准备工作

一台被镜像取证的电脑运行的Windows系统

一台要被镜像取证的电脑运行的Windows系统

两台电脑要能通过网络通信,并且最好是有线千M网络,因为被镜像取证Windows系统的硬盘数据,是通过网络传输到取证系统的虚拟磁盘上,所以网络速度至关重要。

安装软件

在被镜像取证的Windows系统上,下载RFSD并运行,RFSD是跨平台的文件操作服务,通过该服务可实现读取Windows硬盘数据。

RFSD主页:http://ranfs.com/cn/?RFSD

在管理员权限的powershell执行如下命令

 $rfsd_dir="c:rfsd";Invoke-Expression(New-Object Net.WebClient).DownloadString("http://ranfs.com/pub/rfsd/all/get.ps1")

安装完成,rfsd作为服务会自动运行,如果安装了360等安全软件,请允许相关权限请求。

在没有powershell的系统,下载下面的压缩包

地址:http://ranfs.com/pub/rfsd/windows/rfsd-windows-x86.zip

下载解压后,请用管理员权限运行install.bat,至此被镜像取证系统上的准备工作完成。

在要镜像取证的Windows系统上,安装RFDK,RFDK是虚拟磁盘驱动器,可以把远程硬盘虚拟为本地磁盘。

RFDK主页:http://ranfs.com/cn/?RFDK

下载地址:http://ranfs.com/pub/rfdk/windows/rfdk.zip

下载到本地解压,执行install.bat等待安装完成,至此准备工作完成。

更多的帮助见安装包里的:rfdk-cn.pdf

使用rfdk-gui挂载磁盘和物理内存

在Windows上运行rfdk-gui,新建客户端连接如下图:

6cf60555fd55ee4c3402b696b5b5b889.png

假定RFSD运行的电脑Ip地址为192.168.63.130,点击确定添加完成,这时主界面上会显示当前电脑,拥有的相关存储设备列表。

ca920bbde04585ca49620e03617be9be.png

双击红圈.PhysicalDrive0栏目,会弹出挂载磁盘配置对话框,默认只读,确定后就完成了磁盘挂载。双击红圈.PhysicalMemory栏目,完成物理内存挂载。

ee9255a83dcd352311326bd0aa07a623.png

注意:读取物理内存需要加载驱动,请允许RFSD加载驱动,否则可能会返回超时错误。请确保网络正常,及RFSD正常运行,如果网络断了或RFSD异常关闭,虚拟磁盘将自动消失。

遇到不能解决的问题,请联系:tech@ranfs.com, 或加QQ群:599829506。

weixin_39959569
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
制作硬盘镜像文件DDKI v1.6.0.1汉化注册版.rar
09-05
软件介绍: DataNumen Disk Image即DDKI,它是一款功能强大的磁盘或驱动器镜像创建和恢复工具。它可以逐字节的克隆和恢复磁盘或驱动器上的原始数据。用于数据恢复和法医鉴定。从单个磁盘或驱动器创建驱动器或磁盘镜像,注意不要将镜像文件输出到源磁盘/驱动器。支持批量克隆。- 支持所有种类的磁盘和驱动器。- 支持 Windows 95/98/ME/NT/2000/XP/Visa/7/8/8.1/10 和 Windows Server 2003/2008/2012。- 支持将镜像数据还原到驱动器。- 支持从损坏的介质上克隆数据。- 支持用指定数据替换损坏的扇区。- 支持批量克隆多个磁盘和驱动器。- 非常适合用作计算机法医取证工具和电子取证工具。
FTK Imager磁盘镜像挂载神器
11-09
FTK Imager是一款在电子取证领域广泛使用的工具,它的主要功能是创建和处理磁盘镜像,以便在不破坏原始数据的情况下对存储介质进行分析。本文将深入探讨FTK Imager的重要特性、工作原理以及其在电子取证中的应用。 ...
【WinHex篇】WinHex制作磁盘镜像教程
蘇小沐的电子数据取证博客
12-15 6122
WinHex制作磁盘镜像教程—【suy】 文章目录1、路径:文件(F)->创建磁盘镜像(C)->选择磁盘![创建磁盘镜像](https://img-blog.csdnimg.cn/20201215112229343.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L05EQVNI,size_16,color_FFFFFF,t_70)2、选择驱
ctf -- 内存取证分析工具volatility的下载与安装+简单的使用
半岛铁盒的博客
06-16 1万+
你可以在Release中找到对应你系统(Mac,Win,Linux)的源代码,当然也可以git clone下来: git clone https://github.com/volatilityfoundation/volatility.git 上面那个是本体的安装,需要安装一些插件 python setup.py build python setup.py install 安装setup-tools wget https://pypi.python.org/packages/45/29/8814bf414
【应急基础】安全应急响应工具年末大放送(含下载)
Fly_鹏程万里
02-22 1844
为了帮助安全分析师更好的完成工作,小编整理了一些现在比较流行的安全应急响应工具和资源,从磁盘镜像创建工具、内存分析工具到内存镜像工具、沙盒/逆向工具等,相信总有一款适合你。 磁盘镜像创建工具 GetData Forensic Imager - GetData Forensic Imager是一款基于Windows的程序,能对常见的取证文件格式进行捕获,转换或验证取证镜像。 Guyma...
System学习笔记003---Windows内存变成快速虚拟硬盘
添柴程序猿的专栏
07-22 4639
     笔记本电脑安装了8G内存,却装了个Win7 32位系统,结果只能识别2946MB内存,还有5GB多内存白白浪费了,那个闹心啊,别提多不爽,听说能把内存虚拟成硬盘使用,用它缓存系统临时文件,以及缓存网页,能大大提高运行速度,所以决定试一试。 工具/原料 Primo.Ramdisk.ult.mui.Setup.5.5.0 未识别内存进行识别 1        先从网...
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 6万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
磁盘镜像加载工具-CSI-Mounter.rar
04-07
磁盘镜像是对硬盘驱动器的精确复制,包含了所有扇区的数据,包括已分配和未分配的空间。这种复制方式确保了原始数据的保护,因为所有的操作都在镜像上进行,而不会直接影响到原始硬盘磁盘镜像可以用于备份、灾难...
磁盘镜像工具
06-12
用户可以通过其直观的图形界面进行磁盘克隆、分析和搜索,同时它支持对物理硬盘、外部设备和网络共享的处理。 总之,FTK Imager是一款强大的磁盘镜像工具,其广泛的格式支持和功能特性使得它在IT专业人士中备受青睐...
Linux硬盘文件分析取证-ssh1.img 题目
03-28
总的来说,Linux硬盘文件分析取证是一个涉及多方面知识的复杂任务,包括Linux系统管理、文件系统分析、网络协议理解、密码学和取证技术。通过对`ssh1.img`文件的深入研究,我们可以学习和提升这些技能,同时在CTF...
内存镜像转储取证
01-13
这个工具可以dump内存,将目前计算机的内存镜像保存为raw文件,然后方便使用kali中的取证工具进行取证分析。
内存取证工具
09-30
使用文档+DumpIt+volatity 使用DumpIt获取物理内存,生成物理内存镜像文件,使用volatity对物理内存镜像文件进行分析
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
Windows平台下的监控取证技术
07-28
6. **磁盘取证**:通过对硬盘的完整镜像,可以防止数据被篡改,并进行离线分析。通过工具如EnCase或FTK Imager,可以恢复已删除的文件,查找隐藏分区或扇区。 7. **时间线重建**:通过收集系统时间戳,可以构建事件...
Windows内存取证思路-----volatility
woshicainiao666的博客
12-20 2161
南华城里月如昼,十二玉楼非吾乡
brew 镜像_Macosx硬盘内存镜像取证
weixin_39992665的博客
11-03 236
Macosx硬盘内存镜像取证windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将macosx系统硬盘内存镜像数据给winhex等分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成macosx硬盘数据镜像取证。 准备工作一台被镜像取证的mac电脑运行的Macosx系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且...
kali对windows内存取证
weixin_51957047的博客
04-16 598
kali对windows内存在线取证,对靶机进行挖矿主要的信息提取
windows下的volatility的内存取证分析与讲解
cuihua的博客
04-03 7985
volatility(win64) 1.下载 volatility 下载地址:(我下载的版本2.6,并把名字稍微改了一下) Release Downloads | Volatility Foundation windows版 2.使用 1.查看基本信息 查看镜像的基本信息,使用的时候可以将这个软件和需要取证镜像放到一起 例如: 打开终端,输入命令, ./volatility -f memory.img imageinfo 可以看到各种信息,标出的几个是比较重要的 2.查看进程 ./volatili
Windows DFIR数字取证与事件响应
最新发布
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全事件。DFIR流程通常包括以下几个关键步骤: 1. **准备阶段**: - 建立和训练一个专业的应急响应团队。 - 制定和维护应急响应计划,包括通信协议、角色和职责。 - 确保拥有必要的工具和资源,如取证软件、备份数据和硬件设备。 - 进行定期的安全培训和演练,以确保团队成员熟悉流程和工具。 2. **识别阶段**: - 监控网络和系统活动,以便及时发现可疑行为或已知威胁指标(IOCs)。 - 使用自动化工具(如入侵检测系统、防病毒软件)来辅助识别潜在的安全事件。 - 接收来自员工或用户的安全事件报告。 3. **遏制阶段**: - 一旦确认安全事件,立即采取措施限制其影响范围。 - 隔离受影响的系统和网络,防止恶意行为扩散。 - 保留所有相关日志和数据,以便后续调查。 4. **调查阶段**: - 对受影响的系统进行详细的取证分析,包括系统日志、内存转储、网络流量等。 - 确定攻击者的入侵途径、在系统中的活动以

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值