目录
一、利用FTK Imager 进行取证复制
1.在windows 10虚拟机添加一个硬盘2,分配1G的磁盘空间,如下图所示:
2.将物理机下载的用到的软件拷贝到windows虚拟机中,如下所示:
3.打开DiskGenius工具建立新分区,为下面抓取磁盘镜像做准备,如下所示:
4.建立新分区,选择拓展磁盘分区,如下:
接着,选择逻辑分区,文件系统类型为FAT32,分区大小设为500MB,如下:
最后,选择逻辑分区,文件系统类型设为NTFS,磁盘分区为剩下的字节,如下所示:
完成以上分区设置后,保存更改。即可完成新磁盘的分配,如下所示:
5.在我们的windows 10虚拟机中,选择三个较小的文件,分别存放到刚刚分好的磁盘E和F中,这里我选择将Windows Mail和Windows NT存放到E盘中,将Windows Photo Viever存放到F盘中,如下所示:
6.在磁盘C下,创建三个文件夹,用于存放实验过程中产生的数据,如下:
7.打开FTK ImagerChs,点击内存条图表,如下图所示:
更换内存抓取的目标路径为刚刚在C盘创建的文件夹Workspaces的子目录memory中,使用自动生成的目标文件名,最后点击抓取内存,如下图所示:
完成以上步骤后,会出现如下的内存获取进度条,表示内存抓取成功,如下:
我们通过以下步骤进行验证。
8.点击文件下的添加图标,选择镜像文件,然后点击下一步。如下所所示:
接着,选择源证据的目录,即我们在第7步生成的目标文件的位置,最后点击Finish,如下所示:
9.完成以上步骤后在证据树下会生成一个memdump的证据,右键选择校验驱动器/镜像,如下所示:
校验后会生成一个校验结果,说明抓取镜像成功,如下所示:
最后,右键将镜像移除,如下所示:
10.使用FTK Imager创建磁盘镜像,如下:
选择物理驱动器,如下所示:
选择磁盘分区出来的1G的盘,然后点击Finish,如下所示:
完成上面后,会出现一个Create Image页面,点击Add,选择目标镜像类型为E01如下所示:
11.添加证据项的信息,案件编号设置为:具体如下所示:
12.更改镜像路径。存放到C盘中的新建的Workspaces下的子目录FTK_img中,更改镜像名称为证据1:evidence_1,如下所示:
更好以上数据后,勾选图示所有选项:
13.扫描完成的进度条如下所示:
14.生成的镜像校验结果如下图所示:
15.在C盘下的对应的文件夹也会生成相应的文件,如下:
16.查看evidence_1.E01文件,如下:
二、利用X-Ways Forensics进行取证
1.首先在C盘下,Workspaces文件下的X_ways_img下创建六个存放数据的文件夹,如下所示:
2.打开X-Ways Forensics工具,点击菜单栏的Options,点击General,如下所示:
3.更改文件的路径。将以下图示的位置更改为步骤1设置的目录中,如下所示:
4.创建一个新的Case,如下所示:
将新的case命名为test_1,选择存放的路径为X_ways_img下的images中,添加为:A test for homework,添加实验者为zhongsirong。具体如下所示:
5.在File下选择Add Medium,如下所示:
6.选择磁盘为E盘,如下所示:
7.在File中选择创建磁盘镜像,如下所示:
创建完成,如下:
查看Drive E.txt可以看到E盘的哈希值的MD5码,如下:
最后将E盘移除,如下所示:
8.接着是F盘进行同样的操作,如下所示:
9.完成以上的步骤后,E盘和F盘会生成对应的E01文件,如下所示。
点击File,Add Image,如下:
加入上面生成驱动镜像文件,如下 :
10.右键test_1下的DriveE,选择Properties,如下:
E盘取证成功,如下:
11.右键test_1下的DriveF,选择Properties,如下:
F盘取证成功,如下:
1978
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
