工具使用
取证工具:winhex,FTK Imager,VMware-converter
挂载工具:Arsenal-Image-Mounter-v3.1.107
简介
在windows平台中一般使用VMware-converter来进行取证,因为这种方式是在系统跑起来之后进行取镜像,而且取出来直接是vmware可以识别的格式,直接可以在分析时仿真起来,但是有时候由于任务限制,取证不允许在对方主机上安装任何软件,所以只能使用winhex,或者FTK,但是winhex在本人非盘对盘对拷试验时,无法挂载,所以更不谈仿真,所以后来使用ftk进行取镜像,但是这次专项出现翻车,取回来几十台主机,win10全部能仿真但是win7出现很多无法仿真的情况。下面就分别介绍取证与仿真
取镜像
VMware-converter取镜像与仿真
首先安装VMware-converter,(win10记得选择管理员权限打开软件,不然无权限读取硬件信息)第一步选择convert machine,转化系统
接着选择是本机还是远程,这里因为要取本地机,所以选择local machine
然后选择取证生成的镜像目标类型,因为分析使用vmware这里就选如图vmware,select vmware product是选择适配vmware的版本,最后一个选项select a location for the vitual machine选择是保存位置,这里就是我们的取证存储设备,比如移动硬盘或者nas。
然后一路next,直到finish,中间优先提示和选项都可以根据具体修,改不改也行,最后就如图
当完成时候就生成了vmware可以跑起来的镜像。格式是vmdk,仿真就直接可以用vmware打开。
FTK Imager取镜像仿真
因为取证任务中会出现,不允许在对方主机安装软件的拷贝方式,这里我们选去的是ftk Imager取镜像,然后使用Arsenal-Image-Mounter挂载镜像,vmware仿真
步骤如下:
打开FTK,选择创建镜像如图
然后默认物理磁盘
然后下图就是选择取哪块盘的镜像,一般都是一个个全部都取走
然后点击add,下面的红框第一个是验证是否取证正确,点不点都可以,如果时间紧可以不选
境界着是取目标镜像保存的类型,这里选dd
下一步是一些注释信息,可写可以不写,本人是习惯写个readme,保存镜像使用不同名字,然后再reademe标明清楚
境界着就是镜像保存目标的一些设置,image Destination Folder是目的地,image Filename是镜像保存的名字,如果多台机器多个硬盘就可以以IP+第几块盘以试区分,还有Image Fragment size是镜像分块的大小,本人习惯一个镜像一个文件,所以一般删去1500,这里什么都不选,最后点finish就可以静等生成镜像了,这里一般生成的是.001格式
挂载,这里使用Arsenal-Image-Mounter,进入软件选mount disk image,挂载镜像
选择之前保存的镜像,然后下一步就会跳出如下,选择第二个可以写的选项,弹出的选项选是就可
如果挂载成功就会再电脑装多个逻辑分区
生成之后就是有两个途径,使用Arsenal-Image-Mounter讲镜像保存为vmdk格式,这样vmware直接可以打开。步骤就是点击镜像然后选如下选项
选择vmdk格式,并且选择保存路径
之后就可以用vmware打开了。
-------------------------------------------------------------------------------------------------------
除了保存vmdk格式,也可以直接挂载后打开。步骤如下
首先降在线硬盘改为可读写
然后再wmware选择新建虚拟机,然后选择高级自定义
然后稍后安装操作系统
下一步系统这里选windows哪个版本都行,
然后下一步选择虚拟机保存位置联不连网等,这里自行选择,直到下面,这里好几种磁盘类型,根据本人尝试如果最后虚拟机加载不起来,可以每个都试试,但是一般都是sata就可以加载起来
下一步选使用物理磁盘,选择
这里就选刚挂载起来的镜像的系统盘,哪一个可以在Arsenal-Image-Mounter看到
比如这里就是第二个
然后一直往下finish,如果启动虚拟机提示已占用,需要脱机此磁盘
操作就是电脑右键管理,磁盘管理中,对着对应磁盘右键,选择脱机
再次尝试启动虚拟机一般就成了。
总结
一般能用vmware-converter就使用这个工具,这个是在系统启动起来时候进行取证,如果不能用这个软件就用ftk,但是ftk不是powered-on取,本人在多次使用此软件取磁盘镜像发现取回来镜像win7在仿真起来时发现驱动有问题,蓝屏。
另外尝试过winhex,如果移动硬盘数量能满足跟取证目标设备一样多,可以使用dd盘对盘拷,如果硬盘不足,使用winhex非盘对盘按位拷保存镜像,出现取得镜像都无法挂载的情况。