【镜像取证篇】DD系统镜像仿真问题的一些补充说明

admin
admin
admin
102369
文章
87
评论
2023年12月5日18:16:02【镜像取证篇】DD系统镜像仿真问题的一些补充说明已关闭评论37 views字数 1971阅读6分34秒阅读模式

系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳—【蘇小沐】

文章目录

    实验环境

    1、系统镜像

    2、镜像挂载问题

    3、权限问题

    4、镜像数据问题

    5、镜像仿真卡死或等待时间过长

    6、磁盘被占用问题

    总结

实验环境

Windows建议用专业版,功能全。

实验环境
Windows11专业版,[21H2(22000.708)]
VMware Workstation 16 Pro,[16.2.3 build-19376536]
FTK Imager,[4.5.0.3]

1、系统镜像

这里的镜像是以电子取证而言的法证镜像,国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像,是将一个磁盘打包成一个单独的文件,可以随时还原到另一个磁盘上,是一种位对位的数据备份功能,其数据和原盘数据完全相同的副本(包括了有数据的部分和没有数据的部分),并非简单的复制粘贴,这也是为什么DD镜像可以恢复删除的数据最重要的原因。

通常一个Windows的系统镜像文件是十几GB大小起步。而Linux的镜像文件会小一些,通常几个GB就可以,但通常Linux系统镜像是站库分离的,如果仿真成功后没有数据,要自己查看一些问题,每个镜像都不可能一样。后面会出一期专门介绍各种法证镜像文件的科普文

  • 位对位的数据复制;

  • 一个文件;

能系统仿真的首要前提是,镜像文件是完整的系统镜像,不清楚的可以先挂载镜像查看。

图片

2、镜像挂载问题

并非所有的镜像都支持挂载,可在磁盘管理里面查看是否有挂载的对应磁盘。

  • 如NTFS的文件系统不支持苹果的APFS、HFS+等系统,使用FTK Imager挂载苹果镜像到window系统上也可能无法直接查看里面的数据内容等,需要其它特定软件,如APFS for Windows来挂载苹果的镜像。

  • 还有一些镜像是支持BitLocker加密的,所有挂载的时候,如果本机系统是家庭版(家庭版不支持BitLocker加密等功能),可能也会出现错误;

  • 所有说原因可能是多方面的,这方面可能需要一些软硬件的知识存储做支持来判断,每个人所使用的系统环境的不同都可能出现各种各样问题。

  • 图片

3、权限问题

镜像仿真是会占用一定的空间和内存的,建议主机机器的性能配置强一些,仿真建议数据放在SSD盘,这样系统读取文件速度就会快很多,记得预留足够的空间。

  • 建议是主机本地管理员账户运行;

  • 建议FTK Image以管理员权限运行

  • 建议Vmware虚拟机以管理员权限运行;

  • 不建议原始镜像文件放在主机系统盘(C盘);

  • 不建议虚拟机生成文件放在C盘;

4、镜像数据问题

这里的镜像文件是一个整体,并非镜像文件解压后的某个.dd文件而已。

  • 通常一个Windows的系统镜像文件是十几GB大小起步。

  • 而Linux的镜像文件会小一些,通常几个GB就可以,但通常Linux系统站库分离的居多,如果仿真成功后没有数据,要自己查看数据问题,没有数据的,找到数据的镜像文件,直接在虚拟机里面,添加设备把数据镜像挂载添加即可;每个镜像的环境都不可能一样,需要自己多想多操作。

5、镜像仿真卡死或等待时间过长

镜像仿真可能等待过程有点长,主要是取决于两个原因:

  • 仿真的主机性能限制,配置越高,一般仿真运行速度会越快。建议镜像文件复制一份副本到SSD盘,预留足够的空间,分配4GB以上的内存进行仿真实验。

  • 仿真配置出错,建议重新仿真。

  • 遇到无法连接虚拟设备sata0:1,因为主机上没有相应的设备您要在每次开启此虚拟机时都尝试连接此虚拟设备吗?

这一步并非绝对的错误,通常是Vmware虚拟机本机的体现,这一步一般直接选择是,跳过就行。只有在这一步跳过后还是无法进入系统!就要考虑一下自己的步骤是否有出错,镜像是否有问题等!!!

图片

6、磁盘被占用问题

  • 不要从虚拟磁盘挂载镜像,会提示“物理磁盘已被占用”;是直接在本地主机挂载本地的镜像文件。

  • 还有一些可能是权限、本机系统环境等问题,可参考上面。

总结

因为现在硬件发展速度很快,很多的镜像文件它的原始数据盘可能是机械硬盘、SSD硬盘,还有因为不同版本的系统,支持的协议、硬件配置也不相同,就可能导致了虽然做出来的都是DD、E01等镜像,但仿真时所选择的一些参数会不一样!!!如越来越多的镜像看分区类型,如果显示EFI,固件类型只能选择“UEFI”,不能选择“BIOS”!!!否则也会出现以下报错,而且无法进入系统!!!

还有麻烦有问题,请描述清楚问题,以及解决后麻烦能说句谢谢!!!

书写片面,纯粹做个记录,有错漏之处欢迎指正。

在公众号内回复关键词【镜像仿真】自动获取资源合集,如遇到链接失效请留言,看到后会及时更新。

明:欢迎转发收藏,喜欢记得点点赞图片!转载引用请注明出处,著作所有权归作者 [蘇小沐] 所有】

记录
开始编辑:2022 年 06 月 07 日
最后编辑:2022 年 06 月 07 日

图片

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月5日18:16:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【镜像取证篇】DD系统镜像仿真问题的一些补充说明https://cn-sec.com/archives/2269922.html