windows没有磁盘_Windows硬盘和内存镜像取证

最新推荐文章于 2024-03-20 15:29:10 发布
最新推荐文章于 2024-03-20 15:29:10 发布
阅读量367 收藏 1
点赞数
文章标签: windows没有磁盘

Windows硬盘和内存镜像取证

在Windows系统上,有winhex等神器,可以对本地硬盘和物理内存完成镜像取证等工作,但如何对远程的Windows系统的硬盘和物理内存数据进行集中的镜像取证呢?除了在本地镜像为文件外,本文将介绍一种方法,将更方便的完成远程Windows硬盘和物理内存的数据镜像取证。

准备工作

一台被镜像取证的电脑运行的Windows系统

一台要被镜像取证的电脑运行的Windows系统

两台电脑要能通过网络通信,并且最好是有线千M网络,因为被镜像取证Windows系统的硬盘数据,是通过网络传输到取证系统的虚拟磁盘上,所以网络速度至关重要。

安装软件

在被镜像取证的Windows系统上,下载RFSD并运行,RFSD是跨平台的文件操作服务,通过该服务可实现读取Windows硬盘数据。

RFSD主页:http://ranfs.com/cn/?RFSD

在管理员权限的powershell执行如下命令

 $rfsd_dir="c:rfsd";Invoke-Expression(New-Object Net.WebClient).DownloadString("http://ranfs.com/pub/rfsd/all/get.ps1")

安装完成,rfsd作为服务会自动运行,如果安装了360等安全软件,请允许相关权限请求。

在没有powershell的系统,下载下面的压缩包

地址:http://ranfs.com/pub/rfsd/windows/rfsd-windows-x86.zip

下载解压后,请用管理员权限运行install.bat,至此被镜像取证系统上的准备工作完成。

在要镜像取证的Windows系统上,安装RFDK,RFDK是虚拟磁盘驱动器,可以把远程硬盘虚拟为本地磁盘。

RFDK主页:http://ranfs.com/cn/?RFDK

下载地址:http://ranfs.com/pub/rfdk/windows/rfdk.zip

下载到本地解压,执行install.bat等待安装完成,至此准备工作完成。

更多的帮助见安装包里的:rfdk-cn.pdf

使用rfdk-gui挂载磁盘和物理内存

在Windows上运行rfdk-gui,新建客户端连接如下图:

6cf60555fd55ee4c3402b696b5b5b889.png

假定RFSD运行的电脑Ip地址为192.168.63.130,点击确定添加完成,这时主界面上会显示当前电脑,拥有的相关存储设备列表。

ca920bbde04585ca49620e03617be9be.png

双击红圈.PhysicalDrive0栏目,会弹出挂载磁盘配置对话框,默认只读,确定后就完成了磁盘挂载。双击红圈.PhysicalMemory栏目,完成物理内存挂载。

ee9255a83dcd352311326bd0aa07a623.png

注意:读取物理内存需要加载驱动,请允许RFSD加载驱动,否则可能会返回超时错误。请确保网络正常,及RFSD正常运行,如果网络断了或RFSD异常关闭,虚拟磁盘将自动消失。

遇到不能解决的问题,请联系:tech@ranfs.com, 或加QQ群:599829506。

weixin_39959569
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
磁盘硬盘内存,虚拟内存的区别
忆林的博客
09-05 893
内存的话,就是在程序运行之前加载所需文件的一个地方,因为电脑的数据与代码一般都是存储在外部存储设备上的,而外部存储设备也就是硬盘的速度是远远不及电脑内部的内存的。而对于虚拟内存 的话,其用途是占用了硬盘也就是外部存储设备的空间作用与内存的用处是一样的,但是速度是远远比不上内存的。硬盘磁盘与ssd相关可拓展存储设备的总称,所以这个时候磁盘就不难理解了,可以这么说,SATA磁盘算是磁盘中的代表。这些只是自己的一些见解,有错的话,一起交流奥!
内存镜像转储取证
01-13
这个工具可以dump内存,将目前计算机的内存镜像保存为raw文件,然后方便使用kali中的取证工具进行取证分析。
Windows取证篇】Windows镜像仿真绕过开机密码技巧
蘇小沐的电子数据取证博客
12-04 4095
【加解密篇】Windows虚拟机全系列密码破解教程 在电子取证中,遇到的是镜像格式,首先就需要镜像仿真进入系统,还经常会遇到系统有密码的情况,这一步很多人会选择同型号的系统镜像来替换,但是,系统镜像动辄4、5个GB大小,下载速度慢、修改步骤复杂,此篇介绍设置光驱启动的方法,加载PE镜像工具破解Windows系列密码 —【suy】 文章目录【加解密篇】Windows虚拟机全系列密码破解教程一、DD镜像仿真1、实验数据2、镜像仿真教程:**[【电子取证镜像仿真篇】DD、E01系统镜像动态仿真](https:/
浅谈内存取证
weixin_50464560的博客
09-15 1278
i春秋作家:lem0n原文来自:浅谈内存取证0x00 前言网络攻击内存化和网络犯罪隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对.内存取证作为传统文件系统取证的重要补充,是计算机取证科学的重要组成部分,通过全面获取内存数据、详尽分析内存数据,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,近年来,内存取证已赢得安全社区的持续关注,获得了长足的发展与广泛应用,在网络应急响应和网络犯罪调查中发挥着不可替代的作用.首先回顾了内存取证研究的起源
brew 镜像_Macosx硬盘内存镜像取证
weixin_39992665的博客
11-03 253
Macosx硬盘内存镜像取证windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将macosx系统硬盘内存镜像数据给winhex等分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成macosx硬盘数据镜像取证。 准备工作一台被镜像取证的mac电脑运行的Macosx系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且...
Windows内存镜像取证
ping204568238的博客
02-29 710
3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号。4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令。5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容。需要指定偏移量 -Q 和输出目录 -D。
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
Windows物理内存取证
11-27
基于Windows物理内存的计算机取证技术的研究
【WinHex篇】WinHex制作磁盘镜像教程
蘇小沐的电子数据取证博客
12-15 6277
WinHex制作磁盘镜像教程—【suy】 文章目录1、路径:文件(F)->创建磁盘镜像(C)->选择磁盘![创建磁盘镜像](https://img-blog.csdnimg.cn/20201215112229343.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L05EQVNI,size_16,color_FFFFFF,t_70)2、选择驱
kali 安装volatility_kali对Windows内存在线取证
weixin_39603505的博客
11-21 955
kali对Windows内存取证 在kali系统上,有VOLATILITY等工具,可以方便的完成内存镜像取证等工作,如何将Windows系统内存镜像数据给VOLATILITY分析呢?除了通过DumpIt等第三方工具镜像为文件外,本文将介绍一种方法,将更方便的完成内存镜像取证。 准备工作一台被内存镜像取证的电脑运行的windows系统一台取证电脑运行的kali系统两台电脑要能通过网络通信,并且最好...
WinHex取证资料详解
02-13
Windows版的数据恢复软件中,X-Ways Forensics已经广为应用。我们经常把它称之为WinHex,不过也没有错,它们是德国X-Ways公司的姊妹产品,适用面稍有区别。X-Ways Forensics主要用于电子数据分析与处理,本身可以独立使用,功能很强,做数据恢复只是它的一小部分功能。大家常见的WinHex总体上有个人版、专业版、专家版和法证版几个不同版本。WinHex 法证版实际就是X-Ways Forensics,但也稍有区别:除了法政版,都可以进行磁盘编辑及修改,而后者禁止对磁盘进行任何编辑和修改,用于保持数据的原始性和完整性。Winhex专家版去除了一些计算机法证特殊功能,是进行数据恢复工作的理想版本。WinHex个人版和专业版功能限制较多,但对于普通的磁盘编辑、数据恢复也基本够用了。德国X-Ways公司在中国有代理商,所销售的软件当前最新版本是14.3多国语言版。但目前仅有WinHex专家版和X-Ways Forensics两个版本具有中文界面,WinHex个人版和专业版没有中文界面,英文试用版可从 www.winhex.com下载。网络上能够找到的汉化版不是X-Ways公司发行的中文版,其高版本的汉化有些敷衍充数,中文很不准确。
winhex内存读取工具
05-07
WinHex 是一款以通用的 16 进制编辑器为核心,专门用来对付计算机取证、数据恢复、低级数据处理、以及 IT 安全性、各种日常紧急情况的高级工具: 用来检查和修复各种文件、恢复删除文件、硬盘损坏、数码相机卡损坏造成的数据丢失等。得到 ZDNet Software Library 五星级最高评价,拥有强大的系统效用。功能包括 (依照授权类型): - 硬盘, 软盘, CD-ROM 和 DVD, ZIP, Smart Media, Compact Flash, 等磁盘编辑器... - 支持 FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 文件系统 - 支持对磁盘阵列 RAID 系统和动态磁盘的重组、分析和数据恢复 - 多种数据恢复技术 - 可分析 RAW 格式原始数据镜像文件中的完整目录结构,支持分段保存的镜像文件 - 数据解释器, 已知 20 种数据类型 - 使用模板编辑数据结构 (例如: 修复分区表/引导扇区) - 连接和分割、以奇数偶数字节或字的方式合并、分解文件 - 分析和比较文件 - 搜索和替换功能尤其灵活 - 磁盘克隆 (可在 DOS 环境下使用 X-Ways Replica) - 驱动器镜像和备份 (可选压缩或分割成 650 MB 的档案) - 程序接口 (API) 和脚本 - 256 位 AES 加密, 校验和, CRC32, 哈希算法 (MD5, SHA-1, ...) - 数据擦除功能,可彻底清除存储介质中残留数据 - 可导入剪贴板所有格式数据, 包括 ASCII、16 进制数据 - 可进行 2 进制、16 进制 ASCII, Intel 16 进制, 和 Motorola S 转换 - 字符集: ANSI ASCII, IBM ASCII, EBCDIC, (Unicode) - 立即窗口切换、打印、生成随机数字 - 支持打开大于 4 GB 的文件,非常快速,容易使用。 - 广泛的联机帮助 [隐藏介绍]
简单的内存取证介绍
qq_41814777的博客
10-26 1828
定义: 通常指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据。 内存是操作系统及各种软件交换数据的区域,数据易丢失(Volatile),通常在关机后数据很快就消失。(是指利用将内存进程写入镜像文件,通过镜像文件查看之前内存进程的一些信息。) 工具介绍:volatility volatility是一款开源的内存取证分析工具,由python编写,支持各种操作系统...
网络安全B模块(笔记详解)- 内存取证
weixin_57536426的博客
01-23 628
1.从内存文件中获取用户admin的密码并破解,将该密码作为flag值提交(密码长度为6个字符);2.获取内存文件中系统的IP地址,将IP地址作为flag值提交;3.获取内存文件中系统的主机名,将主机名作为flag值提交;4.内存文件的系统中存在挖矿进程,将矿池的IP地址作为flag值提交;5.内存文件的系统中恶意进程在系统中注册了服务,请将服务名称作为flag值提交。
内存镜像文件取证
最新发布
山兔的博客
03-20 1164
打印userassist注册表项和信息跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。题目问我们的是最后一次运行计算器的时间,我们直接去找calc.exe的最后一次运行的时间得出最后运行的时间是2021-12-10 12:15:47 UTC+0000,因为我们是在东八区,所以时间要加上8个小时,所以最终的截止时间是2021-12-10 20:15:47。
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
数字取证技术 :Windows内存信息提取
即刻出发吧
04-05 5338
数字取证技术 :Windows内存信息提取。后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析?因为在内存
Winhex简单数据恢复与取证及实验一总结
weixin_51458001的博客
11-08 2393
elephant.jpg不能打开了,利用WinHex修复 原本我们是打不开图片的 那我们就想一想怎么办呢,这里有一个解决办法: 首先我们可以使用010Editor这个软件对图片进行修复,因为我们发现这个文件头不符合jpg的开头格式,通过百度jpg的开头格式修改之后再另行保存就可以看到原本的图片啦 最后我们就能打开图片,看到它表现的东西啦![ 笑脸背后的阴霾:图片smile有什么隐藏信息 同样的原理,我们将这张笑脸的图片用010Editor打开 发现里面有很多的FF,但是在最后一行有一些不同的地方 这就是
Qt崩溃生成内存镜像windows下生成dump文件,linux下生成core文件
weixin_40355471的博客
05-27 2807
本文介绍QT程序在崩溃时生成内存镜像文件,windows下生成的叫dump文件,linux下生成的叫core文件。 linux环境生成core文件 linux环境下崩溃生成的是core文件,系统默认不生成; ulimit -c,返回0既是不生成core文件; ulimit -c unlimited,设置当前终端生成不限制大小的core文件; 设置整个系统自动生成core文件,编辑/root/.bash_profile文件,在其中加入ulitmit -S -c unlimited,执行source /root
如何修复Windows 10找不到硬盘/硬盘消失的问题?
qq_29785857的博客
07-30 3万+
Windows 10找不到硬盘的问题更多是发生在移动硬盘连接至电脑以后,无法在文件资源管理器中看到硬盘。不管是内置硬盘还是移动硬盘,若您遇到类似的问题,都可以查看本文内容。本文将分析Windows 10找不到硬盘/硬盘消失的原因以及解决方法,如果您的硬盘中有重要数据丢失,也可以尝试本文的数据恢复方法进行恢复。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值