![免拆机镜像工具WinFE介绍]( "免拆机镜像工具WinFE介绍")
https://www.winfe.net
一、简介
WinFE (Windows Forensic Environment), 也称为Windows FE,最早由微软高级取证技术专家Troy Larson开发。最早的版本只是简单的将两个注册表项添加到Windows Vista预安装环境2.0 (WinPE 2.0)。这些键可以防止启动时自动挂载卷,并支持创建基于Microsoft Windows的取证引导CD/DVD或USB设备。
最初的WinFE写保护工具是在2012年用x86汇编语言(32位)编写的,因此不支持WinFE 64位程序。2018年,代码从x86汇编语言移植到c++,允许生成32位和64位的二进制文件。c++允许应用程序在x86, x64和ARM架构中构建。因此,WinFE现在可以在UEFI和传统系统上加载,而无需更改BIOS设置。像微软Surface Pro这样的设备也可以做镜像。同时支持BitLocker解锁密钥。
该版本还包括Windows密码删除工具。允许从Windows 2000到Windows 10删除Microsoft Windows登录密码,也包括服务器版本。支持本地和微软在线帐户的密码。
![免拆机镜像工具WinFE介绍]( "免拆机镜像工具WinFE介绍")
![免拆机镜像工具WinFE介绍]( "免拆机镜像工具WinFE介绍")
下载地址:https://www.winfe.net/download
二、构建WinFE
进行生成的计算机应为 Windows 10 Pro x64,其内部版本至少为 1803。您还需要“以管理员身份运行”的权限。
下载并安装 7-Zip 文件存档器 (https://www.7-zip.org/)。
从下载页面获取intel x86/x64 框架软件包
将框架包复制到卷的根目录(例如 F:)并解压。卷标字母 F:可相应地更改为您自己的卷字母。
如果希望自定义 WinFE 的桌面背景,请利用此机会将您组织的徽标(必须命名为“wallpaper.jpg”)复制到以下位置 - “F:IntelWinFEx86” 和 “F:IntelWinFEx64”。
访问https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install 并下载 Windows 10 ADK 版本 1803 的安装程序文件。(直接链接:https://go.microsoft.com/fwlink/?linkid=873065)。
它可能适用于其他Windows 10版本的ADK,但是,测试是使用1803进行的,使用任何其他版本都可能产生意外的结果。
![免拆机镜像工具WinFE介绍]( "免拆机镜像工具WinFE介绍")
通过接受所有默认选项和默认安装路径来安装 Windows 10 ADK 版本 1803。(这可能需要一些时间,具体取决于您的互联网速度,需要几G字节的磁盘空间)。
从AccessData下载并安装FTK Imager 3.4.0.1(这是32位)(https://accessdata.com/product-download#past-versions)。
将 FTK IMAGER安装到默认位置,如果已安装 FTK IMAGER,则需要先卸载,然后才能继续。
导航到“C:Program Files(x86)AccessData”并“复制”整个“FTK Imager”文件夹。现在,您应该导航到提取 x86/x64 框架的位置。
将以前复制的“FTK IMAGER”文件夹粘贴到“F:IntelWinFEUSBx86-x64toolsx86”中。请记住,这必须是 32 位版本的 FTK IMAGER。
复制后,使用“控制面板”卸载此 32 位版本的“FTK IMAGER”。
从AccessData下载并安装FTK Imager 4.2.0(这是64位)(https://accessdata.com/product-download#past-versions)。
将 FTK IMAGER安装到默认位置,如果已安装 FTK IMAGER,则需要先卸载,然后才能继续。
导航到“C:Program FilesAccessData”并“复制”整个“FTK Imager”文件夹。现在,您应该导航到提取 x86/x64 框架的位置。
将以前复制的“FTK IMAGER”文件夹粘贴到“F:IntelWinFEUSBx86-x64toolsx64”中。请记住,这必须是 64 位版本的 FTK imager。
复制后,使用“控制面板”卸载此 64 位版本的“FTK imager”。
从“开始菜单”按钮旁边的“搜索栏”中,键入cmd.exe,然后使用管理权限打开。
在控制台中,键入“F:”(或您的卷号是什么)并按 Enter 键,然后使用 CD 命令导航到“IntelWinFE”文件夹。
现在,您可以通过键入“MakeWinFEx64-x86.bat”并按回车键来构建WinFE平台。
生成过程将自动从 ADK 安装中提取所需的文件,并创建生成可启动 WinFE 媒体所需的结构。
如果要生成 CD/DVD ISO 文件,请将 cmd.exe 窗口保持打开状态。
此步骤是可选的,除非您希望生成 WinFE CD/DVD 可启动 ISO 文件。
如果上一阶段开始将 cmd.exe 窗口保持打开状态,则只需键入“Makex64-x86-CD.bat”并按 Enter 即可生成可启动的 WinFE ISO 文件。
可启动的 WinFE ISO 文件将自动在 ISO 文件夹中创建。
此步骤是可选的,除非您希望生成可启动的 USB 闪存驱动器 (UFD)。
UFD 不应大于 32 GB(这是 Microsoft 施加的 FAT32 大小限制)。
首先,打开提升的命令行界面 shell,键入 diskpart,然后按 Enter 键。
现在将看到一个 Diskpart 提示,如下所示:
Type: Select Disk X (X being your USB Flash Drive)
Type: Create Partition Primary
Type: Format FS=FAT32 Quick
将命令行界面保持打开状态,因为您很快就会再次需要它。
导航到“F:IntelWinFEUSBx86-x64”。
此位置中应该有一堆文件和文件夹(启动,efi,源...)。
将所有这些文件和文件夹复制到新准备的 UFD 的根目录中。
返回到命令行界面,并键入以下内容,确保不要将尾随的“”作为 USB 闪存驱动器号的一部分:
bootsect.exe /nt60: /force /mbr
安全弹出 USB 闪存驱动器,它现在已准备就绪,可供使用。
此步骤是可选的,可生成可启动的 USB 硬盘驱动器。
首先,打开cmd命令行界面 shell,键入 diskpart,然后按 Enter 键。
您现在将看到一个 Diskpart 提示,如下所示:
Type: Select Disk X (X being your USB Hard Disk Drive)
Type: Create Partition Primary Size = 8000
Type: Format FS=FAT32 Quick
Type: Create Partition Primary
Type: Format FS=NTFS Quick
在命令行界面导航到“F:IntelWinFEUSBx86-x64”。
此位置中应该有一堆文件和文件夹(启动,efi,源...)。
将所有这些文件和文件夹复制到新准备的 FAT32 卷的根目录中。
返回到命令行界面,然后键入以下内容,确保不要将尾随的“”作为硬盘驱动器号的一部分:
bootsect.exe /nt60: /force /mbr
安全弹出硬盘驱动器,它现在已准备就绪,可供使用。此方法将允许您对与 WinFE(不同分区)相同的设备进行取证采集。
通过前述步骤制作好WinFE介质后,设置好系统启动顺序从USB设备启动。WinFE启动后,显示语言选择界面。
选择完成后,将看到警告信息。提示可能会有一些工具可改变只读状态。
WinFE将显示可以枚举的磁盘,以及这些磁盘的当前状态。理想情况下,所有磁盘都应该处于只读和未挂载状态。![免拆机镜像工具WinFE介绍]( "免拆机镜像工具WinFE介绍")
把可引导的WinFE USB HDD/闪存驱动器的状态改为挂载和读写。然后点击Continue允许WinFE加载,当加载时,位于屏幕顶部的菜单中有多个工具和应用程序可用。
如果不显示磁盘,或者显示的磁盘数量不正确,可能有以下几种原因。1. 硬盘驱动器或RAID控制器需要驱动。2. 没有其他硬盘驱动器或没有连接。3.电脑里的硬盘驱动器可能坏了。
写保护工具可以从磁盘工具菜单中访问,允许您更改硬盘驱动器的状态。在这个菜单选项中有一个基本的磁盘映像工具,在Intel x86或x64版本上不需要使用这个工具,它是为ARM版本设计的。这是目前唯一可行的对ARM计算机或服务器进行法医成像的选择。
Password Tools
Windows密码工具已经被整合到所有的构建中(ARM/x86/x64)。此工具需要安装操作系统所在的卷并将其置于读写模式,显然这在取证方面是不可靠的,然而,在某些情况下,您可能需要使用克隆的硬盘驱动器访问嫌疑人的计算机或引导系统。
标准的重置工具允许从Windows NT删除Windows本地帐户登录密码,直到最新版本的Windows 10/Server。需要指出的是,该工具也支持较新的Microsoft在线帐户。任何被删除的密码,随后可以通过再次运行此工具并检查之前删除的复选框来恢复。
高级重置工具允许从加入Active Directory域的计算机中删除密码。如果使用该工具,请确保密码被删除后,目标计算机没有连接到域网络。同样,密码可以通过再次运行该工具来恢复,但是,由于缓存的凭据很可能已被销毁,计算机将来可能会被阻止针对域进行身份验证。此功能是付费功能。
Other Tools
文件资源管理器-已包括Explorer++,因为Windows资源管理器在WinPE中不可用。
Install Driver安装驱动程序-将允许您为缺少的硬件安装驱动程序,.inf文件以及任何依赖项都是需要的。
Notepad这是标准的微软Windows记事本应用程序。这是标准的微软Windows注册表编辑器应用程序。
Registry Editor - 标准的微软Windows注册表编辑器应用程序。
总结:本工具应用于免拆机全盘镜像场景,写保护功能能很好的保证镜像的完整性,支持多种架构。缺点:制作过程较为麻烦,不支持中文,工具功能比较简单,只能进行全盘镜像无法更灵活的选择镜像源,密码破解功能需要付费。不过用于教学实验和了解原理还是不错的。
原文始发于微信公众号(网安杂谈):免拆机镜像工具WinFE介绍
评论