免拆机镜像工具WinFE介绍

https://www.winfe.net

一、简介

WinFE (Windows Forensic Environment）, 也称为Windows FE，最早由微软高级取证技术专家Troy Larson开发。最早的版本只是简单的将两个注册表项添加到Windows Vista预安装环境2.0 (WinPE 2.0)。这些键可以防止启动时自动挂载卷，并支持创建基于Microsoft Windows的取证引导CD/DVD或USB设备。

最初的WinFE写保护工具是在2012年用x86汇编语言(32位)编写的，因此不支持WinFE 64位程序。2018年，代码从x86汇编语言移植到c++，允许生成32位和64位的二进制文件。c++允许应用程序在x86, x64和ARM架构中构建。因此，WinFE现在可以在UEFI和传统系统上加载，而无需更改BIOS设置。像微软Surface Pro这样的设备也可以做镜像。同时支持BitLocker解锁密钥。

该版本还包括Windows密码删除工具。允许从Windows 2000到Windows 10删除Microsoft Windows登录密码，也包括服务器版本。支持本地和微软在线帐户的密码。

下载地址：https://www.winfe.net/download

二、构建WinFE

第 1 阶段（Intel）

进行生成的计算机应为 Windows 10 Pro x64，其内部版本至少为 1803。您还需要“以管理员身份运行”的权限。

下载并安装 7-Zip 文件存档器 （https://www.7-zip.org/）。

从下载页面获取intel x86/x64 框架软件包

将框架包复制到卷的根目录（例如 F：）并解压。卷标字母 F:可相应地更改为您自己的卷字母。

如果希望自定义 WinFE 的桌面背景，请利用此机会将您组织的徽标（必须命名为“wallpaper.jpg”）复制到以下位置 - “F：IntelWinFEx86” 和 “F：IntelWinFEx64”。

第 2 阶段（Intel）

访问https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install 并下载 Windows 10 ADK 版本 1803 的安装程序文件。（直接链接：https://go.microsoft.com/fwlink/?linkid=873065）。

它可能适用于其他Windows 10版本的ADK，但是，测试是使用1803进行的，使用任何其他版本都可能产生意外的结果。

通过接受所有默认选项和默认安装路径来安装 Windows 10 ADK 版本 1803。（这可能需要一些时间，具体取决于您的互联网速度，需要几G字节的磁盘空间）。

第 3 阶段（Intel）

从AccessData下载并安装FTK Imager 3.4.0.1（这是32位）（https://accessdata.com/product-download#past-versions）。

将 FTK IMAGER安装到默认位置，如果已安装 FTK IMAGER，则需要先卸载，然后才能继续。

导航到“C：Program Files（x86）AccessData”并“复制”整个“FTK Imager”文件夹。现在，您应该导航到提取 x86/x64 框架的位置。

将以前复制的“FTK IMAGER”文件夹粘贴到“F：IntelWinFEUSBx86-x64toolsx86”中。请记住，这必须是 32 位版本的 FTK IMAGER。

复制后，使用“控制面板”卸载此 32 位版本的“FTK IMAGER”。

从AccessData下载并安装FTK Imager 4.2.0（这是64位）（https://accessdata.com/product-download#past-versions）。

将 FTK IMAGER安装到默认位置，如果已安装 FTK IMAGER，则需要先卸载，然后才能继续。

导航到“C：Program FilesAccessData”并“复制”整个“FTK Imager”文件夹。现在，您应该导航到提取 x86/x64 框架的位置。

将以前复制的“FTK IMAGER”文件夹粘贴到“F：IntelWinFEUSBx86-x64toolsx64”中。请记住，这必须是 64 位版本的 FTK imager。

复制后，使用“控制面板”卸载此 64 位版本的“FTK imager”。

第 4 阶段（Intel）

从“开始菜单”按钮旁边的“搜索栏”中，键入cmd.exe，然后使用管理权限打开。

在控制台中，键入“F：”（或您的卷号是什么）并按 Enter 键，然后使用 CD 命令导航到“IntelWinFE”文件夹。

现在，您可以通过键入“MakeWinFEx64-x86.bat”并按回车键来构建WinFE平台。

生成过程将自动从 ADK 安装中提取所需的文件，并创建生成可启动 WinFE 媒体所需的结构。

此过程可能需要几分钟时间。

如果要生成 CD/DVD ISO 文件，请将 cmd.exe 窗口保持打开状态。

第 5 阶段（Intel）

此步骤是可选的，除非您希望生成 WinFE CD/DVD 可启动 ISO 文件。

如果上一阶段开始将 cmd.exe 窗口保持打开状态，则只需键入“Makex64-x86-CD.bat”并按 Enter 即可生成可启动的 WinFE ISO 文件。

可启动的 WinFE ISO 文件将自动在 ISO 文件夹中创建。

第 6 阶段（Intel）

此步骤是可选的，除非您希望生成可启动的 USB 闪存驱动器 （UFD）。

UFD 不应大于 32 GB（这是 Microsoft 施加的 FAT32 大小限制）。

首先，打开提升的命令行界面 shell，键入 diskpart，然后按 Enter 键。

现在将看到一个 Diskpart 提示，如下所示：

DISKPART>

Type: List Disk

Type: Select Disk X (X being your USB Flash Drive)

Type: Clean

Type: Create Partition Primary

Type: Format FS=FAT32 Quick

Type: Active

Type: Assign

Type: Exit

将命令行界面保持打开状态，因为您很快就会再次需要它。

导航到“F：IntelWinFEUSBx86-x64”。

此位置中应该有一堆文件和文件夹（启动，efi，源...）。

将所有这些文件和文件夹复制到新准备的 UFD 的根目录中。

返回到命令行界面，并键入以下内容，确保不要将尾随的“”作为 USB 闪存驱动器号的一部分：

bootsect.exe /nt60: /force /mbr

安全弹出 USB 闪存驱动器，它现在已准备就绪，可供使用。

第 7 阶段（Intel）

此步骤是可选的,可生成可启动的 USB 硬盘驱动器。

首先，打开cmd命令行界面 shell，键入 diskpart，然后按 Enter 键。

您现在将看到一个 Diskpart 提示，如下所示：

DISKPART>

Type: List Disk

Type: Select Disk X (X being your USB Hard Disk Drive)

Type: Clean

Type: Create Partition Primary Size = 8000

Type: Format FS=FAT32 Quick

Type: Active

Type: Assign

Type: Create Partition Primary

Type: Format FS=NTFS Quick

Type: Assign

Type: Exit

Type: Exit

在命令行界面导航到“F：IntelWinFEUSBx86-x64”。

此位置中应该有一堆文件和文件夹（启动，efi，源...）。

将所有这些文件和文件夹复制到新准备的 FAT32 卷的根目录中。

返回到命令行界面，然后键入以下内容，确保不要将尾随的“”作为硬盘驱动器号的一部分：

bootsect.exe /nt60: /force /mbr

安全弹出硬盘驱动器，它现在已准备就绪，可供使用。此方法将允许您对与 WinFE（不同分区）相同的设备进行取证采集。

三、使用

通过前述步骤制作好WinFE介质后，设置好系统启动顺序从USB设备启动。WinFE启动后，显示语言选择界面。

选择完成后，将看到警告信息。提示可能会有一些工具可改变只读状态。

WinFE将显示可以枚举的磁盘，以及这些磁盘的当前状态。理想情况下，所有磁盘都应该处于只读和未挂载状态。

把可引导的WinFE USB HDD/闪存驱动器的状态改为挂载和读写。然后点击Continue允许WinFE加载，当加载时，位于屏幕顶部的菜单中有多个工具和应用程序可用。

如果不显示磁盘，或者显示的磁盘数量不正确，可能有以下几种原因。1. 硬盘驱动器或RAID控制器需要驱动。2. 没有其他硬盘驱动器或没有连接。3.电脑里的硬盘驱动器可能坏了。

Disk Tools

写保护工具可以从磁盘工具菜单中访问，允许您更改硬盘驱动器的状态。在这个菜单选项中有一个基本的磁盘映像工具，在Intel x86或x64版本上不需要使用这个工具，它是为ARM版本设计的。这是目前唯一可行的对ARM计算机或服务器进行法医成像的选择。

Password Tools

Windows密码工具已经被整合到所有的构建中(ARM/x86/x64)。此工具需要安装操作系统所在的卷并将其置于读写模式，显然这在取证方面是不可靠的，然而，在某些情况下，您可能需要使用克隆的硬盘驱动器访问嫌疑人的计算机或引导系统。

标准的重置工具允许从Windows NT删除Windows本地帐户登录密码，直到最新版本的Windows 10/Server。需要指出的是，该工具也支持较新的Microsoft在线帐户。任何被删除的密码，随后可以通过再次运行此工具并检查之前删除的复选框来恢复。

高级重置工具允许从加入Active Directory域的计算机中删除密码。如果使用该工具，请确保密码被删除后，目标计算机没有连接到域网络。同样，密码可以通过再次运行该工具来恢复，但是，由于缓存的凭据很可能已被销毁，计算机将来可能会被阻止针对域进行身份验证。此功能是付费功能。

Other Tools

命令提示符-标准的Windows命令行接口。

配置网络-可配置网络信息。

文件资源管理器-已包括Explorer++，因为Windows资源管理器在WinPE中不可用。

Install Driver安装驱动程序-将允许您为缺少的硬件安装驱动程序，.inf文件以及任何依赖项都是需要的。

Notepad这是标准的微软Windows记事本应用程序。这是标准的微软Windows注册表编辑器应用程序。

Registry Editor - 标准的微软Windows注册表编辑器应用程序。

总结：本工具应用于免拆机全盘镜像场景，写保护功能能很好的保证镜像的完整性，支持多种架构。缺点：制作过程较为麻烦，不支持中文，工具功能比较简单，只能进行全盘镜像无法更灵活的选择镜像源，密码破解功能需要付费。不过用于教学实验和了解原理还是不错的。

原文始发于微信公众号（网安杂谈）：免拆机镜像工具WinFE介绍