admin管理员组文章数量:1130349
工具使用
取证工具:winhex,FTK Imager,VMware-converter
挂载工具:Arsenal-Image-Mounter-v3.1.107
简介
在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方主机上安装任何软件,所以只能使用winhex,或者FTK,但是winhex在本人非盘对盘对拷试验时,无法挂载,所以更不谈仿真,所以后来使用ftk进行取镜像,但是这次专项出现翻车,取回来几十台主机,win10全部能仿真但是win7出现很多无法仿真的情况。下面就分别介绍取证与仿真
取镜像
VMware-converter取镜像与仿真
首先安装VMware-converter,(win10记得选择管理员权限打开软件,不然无权限读取硬件信息)第一步选择convert machine,转化系统
接着选择是本机还是远程,这里因为要取本地机,所以选择local machine
然后选择取证生成的镜像目标类型,因为分析使用vmware这里就选如图vmware,select vmware product是选择适配vmware的版本,最后一个选项select a location for the vitual machine选择是保存位置,这里就是我们的取证存储设备,比如移动硬盘或者nas。
工具使用
取证工具:winhex,FTK Imager,VMware-converter
挂载工具:Arsenal-Image-Mounter-v3.1.107
简介
在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方主机上安装任何软件,所以只能使用winhex,或者FTK,但是winhex在本人非盘对盘对拷试验时,无法挂载,所以更不谈仿真,所以后来使用ftk进行取镜像,但是这次专项出现翻车,取回来几十台主机,win10全部能仿真但是win7出现很多无法仿真的情况。下面就分别介绍取证与仿真
取镜像
VMware-converter取镜像与仿真
首先安装VMware-converter,(win10记得选择管理员权限打开软件,不然无权限读取硬件信息)第一步选择convert machine,转化系统
接着选择是本机还是远程,这里因为要取本地机,所以选择local machine
然后选择取证生成的镜像目标类型,因为分析使用vmware这里就选如图vmware,select vmware product是选择适配vmware的版本,最后一个选项select a location for the vitual machine选择是保存位置,这里就是我们的取证存储设备,比如移动硬盘或者nas。
版权声明:本文标题:windows取证之镜像取证仿真步骤 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://it.en369.cn/jiaocheng/1763991740a2977582.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论