简要记录下GHO系统镜像还原及系统仿真的过程---【蘇小沐】
1
实验环境
|
|
|
|
|
|
1
(一)
1
虚拟机典型设置
默认就行,这样一个空的虚拟机就创建好了。
如果清楚需要还原的镜像盘多大,这里就可以直接配置足够大的硬盘!
如果不清楚具体镜像源盘多大容量,可以根据镜像的大小和常见的硬盘容量设置接近的容量。当然,磁盘容量可以先设置大一些,选择不"立即分配所有磁盘空间",这样随着镜像的还原而占用最终源盘的大小,避免浪费磁盘空间。
2
添加Windows PE工具
"编辑虚拟机设置"。
【路径:虚拟机设置->硬件->CD/DVD->使用ISO映像文件】,记得勾选"启动时连接!"
如果前面设置虚拟机是默认的,记得顺带在这里将默认硬件配置参数改大一些,不然后面运行起来容易卡顿!
因为要还原GHO系统镜像,所以需要选择集成了GHOST软件的PE系统,此处选用了微PE,有需要可到官网下载自行封装到本地ISO,或者到公众号回复关键词"PE软件"自动获取网盘链接。
【设备状态处默认勾选"启动时连接",没勾选的记得勾选上,方便启动虚拟机自动连接】
3
虚拟机进入PE环境
进入PE系统后,可以看到里面有一些GHO系统工具:CGi、Ghost一键备份还原。
这里看不到设置分配的的500GB,需要先使用DiskGenius格式化才行。
4
扩展知识:进入PE小技巧-打开电源时进入固件
如果虚拟机没有自动进入PE环境,可以在虚拟机菜单栏处点击开机键处的下拉箭头按钮,点击"打开电源时进入固件",则会自动进入固件模式,自行设置开机启动顺序。而不必像物理主机一样需要卡Logo界面、猛按快捷键等方式进入。
2
(二)
镜像仿真理论设想
然后到了这里,怎么还原GHO镜像呢?
目前想到的,试过的主要有下面这几种方式:
| 方法 | 优缺点 | |
|---|---|---|
| 1 | 虚拟机设置共享文件夹,GHO镜像可放在物理机上面,选择共享,然后还原。 | 需要比较完整的PE环境才支持虚拟共享文件夹,测试了几个PE都不行。感兴趣的自行测试。 |
| 2 | 将GHO系统镜像先拷入到虚拟机里面,然后选择还原 | 前期慢,后期镜像还原到虚拟机里面快! |
| 3 | 外接USB硬盘接入到虚拟机里面,选择还原。 | 前期快,后期镜像还原到虚拟机里面慢! |
| 4 | 镜像转换VMDK | 这个后面再讨论 |
1
设置共享文件夹
其一:虚拟机设置共享文件夹,然后选择还原。
这种方法很方便,但由于很多PE的环境本身就是不全的,缺失了很多环境,致使PE情况下是安装不了VmwareTools和PE环境限制了很多功能,其中就包括了"共享文件夹"。即使虚拟机设置里面开启了,但到实际PE环境中的时候,仍然无效,PE中无法查看到开启的共享文件夹,功能受限。
【备注:笔者测试过部分PE,碍于能力和精力有限,测试的PE不够多或者方法有误,如果有朋友成功过,请不吝赐教,非常感谢!!!】
2
镜像拷入虚拟机
其二:将GHO系统镜像先拷入到虚拟机里面,然后选择还原。
这种方法优势在于后期还原快,但前期拷入速度慢。由于很多镜像信息我们是不掌握的,如果镜像还原失败,那么拷贝镜像这个时间就浪费掉了,每尝试一次,花费时间成本会高一些。但如果已经做过测试可行,需要再复现这种方法也是挺不错的。具体的根据个人实际情况来选择。
3
外接硬盘
3
(三)
个人比较推荐第三种!以下以第三种方法讲解。
1
外接硬盘连接到虚拟机
2
还原镜像文件
Ghost镜像还原中,镜像越大还原时间越长!!!
如图就是已经在开始还原了。速度的快慢取决于镜像的容量大小和使用的存储介质。对于跑数据分析来说,建议将数据副本拷贝到固态硬盘上进行分析,可以极大缩小数据传输、分析的工作时间。
还原结束后可看到多出了C和H两个盘。
3
还原成功
GHO系统我一般都不太推荐,尤其电子取证方面的固证,因为Ghost系统镜像是基于文件封装用的,不包括删除数据,所以做不了数据恢复,分析不了删除数据。但如果你是用于镜像封装给他人使用,那么可以用GHO的,避免一些隐私数据的泄露。
书写片面,纯粹做个记录,有错漏之处欢迎指正。
公众号回复关键词【GHO】自动获取资源合集。
【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】
【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】
|
记录 |
|
开始编辑:2024年 12月 26日 |
|
|
END
原文始发于微信公众号(DFIR蘇小沐):【镜像取证篇】GHO系统镜像仿真还原教程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论