【镜像取证篇】DD系统镜像仿真问题的一些补充说明
系统千千万,环境占一半,遇到问题建议多重新挂载镜像,多尝试,站在岸上永远学不会游泳。—【蘇小沐】
实验环境
Windows建议用专业版,功能全。
系统 版本 Windows11专业版 21H2(22000.708); VMware Workstation 16 Pro 16.2.3 build-19376536; FTK Imager 4.5.0.3;
1、系统镜像
这里的镜像是以电子取证而言的法证镜像,国际常用的证据文件格式及应用有.DD、.001、.E01/L01、.Ex01/Lx01、.Raw、.AFF等镜像,是将一个磁盘打包成一个单独的文件,可以随时还原到另一个磁盘上,是一种位对位的数据备份功能,其数据和原盘数据完全相同的副本(包括了有数据的部分和没有数据的部分),并非简单的复制粘贴,这也是为什么DD镜像可以恢复删除的数据最重要的原因。
通常一个Windows的系统镜像文件是十几GB大小起步。而Linux的镜像文件会小一些,通常几个GB就可以,但通常Linux系统镜像是站库分离的,如果仿真成功后没有数据,要自己查看一些问题,每个镜像都不可能一样。 后面会出一期专门介绍各种法证镜像文件的科普文。
- 位对位的数据复制;
- 一个文件;
能系统仿真的首要前提是,镜像文件是完整的系统镜像,不清楚的可以先挂载镜像查看。
2、镜像挂载问题
并非所有的镜像都支持挂载,可在 磁盘管理里面查看是否有挂载的对应磁盘。
- 如NTFS的文件系统不支持苹果的APFS、HFS+等系统,使用FTK Imager挂载苹果镜像到window系统上也可能无法直接查看里面的数据内容等,需要其它特定软件,如APFS for Windows来挂载苹果的镜像。
- 还有一些镜像是支持BitLocker加密的,所有挂载的时候,如果本机系统是家庭版(家庭版不支持BitLocker加密等功能),可能也会出现错误;
- 所有说原因可能是多方面的,这方面可能需要一些软硬件的知识存储做支持来判断,每个人所使用的系统环境的不同都可能出现各种各样问题。
3、权限问题
镜像仿真是会占用一定的空间和内存的,建议主机机器的性能配置强一些,仿真建议数据放在SSD盘,这样系统读取文件速度就会快很多,记得预留足够的空间。
- 建议是主机本地管理员账户运行;
- 建议FTK Image以管理员权限运行;
- 建议Vmware虚拟机以管理员权限运行;
- 不建议原始镜像文件放在主机系统盘(C盘);
- 不建议虚拟机生成文件放在C盘;
4、镜像数据问题
这里的镜像文件是一个整体,并非镜像文件解压后的某个.dd文件而已。
- 通常一个Windows的系统镜像文件是十几GB大小起步。
- 而Linux的镜像文件会小一些,通常几个GB就可以,但通常Linux系统 站库分离的居多,如果仿真成功后没有数据,要自己查看数据问题,没有数据的,找到数据的镜像文件,直接在虚拟机里面,添加设备把数据镜像挂载添加即可;每个镜像的环境都不可能一样,需要自己多想多操作。
5、镜像仿真卡死或等待时间过长
镜像仿真可能等待过程有点长,主要是取决于两个原因:
- 仿真的主机性能限制,配置越高,一般仿真运行速度会越快。建议镜像文件复制一份副本到SSD盘,预留足够的空间,分配4GB以上的内存进行仿真实验。
- 仿真配置出错,建议重新仿真。
- *遇到无法连接虚拟设备sata0:1,因为主机上没有相应的设备您要在每次开启此虚拟机时都尝试连接此虚拟设备吗?
这一步并非绝对的错误,通常是Vmware虚拟机本机的体现,这一步一般直接选择是,跳过就行。只有在这一步跳过后还是无法进入系统!就要考虑一下自己的步骤是否有出错,镜像是否有问题等!!!
6、磁盘被占用问题
- 不要从 虚拟磁盘挂载镜像,会提示”物理磁盘已被占用”;是直接在本地主机挂载本地的镜像文件。
- 还有一些可能是权限、本机系统环境等问题,可参考上面。
总结
因为现在硬件发展速度很快,很多的镜像文件它的原始数据盘可能是机械硬盘、SSD硬盘,还有因为不同版本的系统,支持的协议、硬件配置也不相同,就可能导致了虽然做出来的都是DD、E01等镜像,但仿真时所选择的一些参数会不一样!!!如越来越多的镜像看分区类型,如果显示EFI,固件类型只能选择”UEFI”,不能选择”BIOS”!!!否则也会出现以下报错,而且无法进入系统!!!
吐槽一句CSDN很多同质化或者抄袭的内容,还继续在这里写作只是因为这里的文档编辑功能及排版是用的比较顺手的一个,至于它的广告很多,我都是安装了插件直接都屏蔽掉的。
还有麻烦有问题,如答复解决后能说句谢谢!!!在这里写作其实没那么多动力,如果你觉得该文档对你有帮助,麻烦点赞收藏加关注,一键三连,既是更新的动力,也是更新的方向!
【电子取证:FTK Imager 篇】DD、E01系统镜像动态仿真
【FTK Imager篇】FTK Imager制作镜像详细介绍
【著作所有权归作者 蘇小沐 所有,转载请注明文章出处】
名称 时间 开始编辑日期: 2022 年 06 月 07 日 最后编辑日期: 2022 年 06 月 07 日
Original: https://www.cnblogs.com/ndash/p/16353508.html
Author: 蘇小沐
Title: 【镜像取证篇】DD系统镜像仿真问题的一些补充说明
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/606370/
转载文章受原作者版权保护。转载请注明原作者出处!