计算机取证(Windows)FTK+X-Way取证复制

这篇具有很好参考价值的文章主要介绍了计算机取证(Windows)FTK+X-Way取证复制。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、利用FTK Imager 进行取证复制

​二、利用X-Ways Forensics进行取证 


一、利用FTK Imager 进行取证复制

1.在windows 10虚拟机添加一个硬盘2,分配1G的磁盘空间,如下图所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全 2.将物理机下载的用到的软件拷贝到windows虚拟机中,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 3.打开DiskGenius工具建立新分区,为下面抓取磁盘镜像做准备,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 

4.建立新分区,选择拓展磁盘分区,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全

 

接着,选择逻辑分区,文件系统类型为FAT32,分区大小设为500MB,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全

 最后,选择逻辑分区,文件系统类型设为NTFS,磁盘分区为剩下的字节,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

完成以上分区设置后,保存更改。即可完成新磁盘的分配,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

5.在我们的windows 10虚拟机中,选择三个较小的文件,分别存放到刚刚分好的磁盘E和F中,这里我选择将Windows Mail和Windows NT存放到E盘中,将Windows Photo Viever存放到F盘中,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

6.在磁盘C下,创建三个文件夹,用于存放实验过程中产生的数据,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全7.打开FTK ImagerChs,点击内存条图表,如下图所示:ftk取证,windows,网络安全,安全,系统安全,web安全

更换内存抓取的目标路径为刚刚在C盘创建的文件夹Workspaces的子目录memory中,使用自动生成的目标文件名,最后点击抓取内存,如下图所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 

完成以上步骤后,会出现如下的内存获取进度条,表示内存抓取成功,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全我们通过以下步骤进行验证。

8.点击文件下的添加图标,选择镜像文件,然后点击下一步。如下所所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 接着,选择源证据的目录,即我们在第7步生成的目标文件的位置,最后点击Finish,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

9.完成以上步骤后在证据树下会生成一个memdump的证据,右键选择校验驱动器/镜像,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 校验后会生成一个校验结果,说明抓取镜像成功,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 最后,右键将镜像移除,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 10.使用FTK Imager创建磁盘镜像,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全

 选择物理驱动器,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 选择磁盘分区出来的1G的盘,然后点击Finish,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 完成上面后,会出现一个Create Image页面,点击Add,选择目标镜像类型为E01如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 11.添加证据项的信息,案件编号设置为:具体如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 12.更改镜像路径。存放到C盘中的新建的Workspaces下的子目录FTK_img中,更改镜像名称为证据1:evidence_1,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 更好以上数据后,勾选图示所有选项:

ftk取证,windows,网络安全,安全,系统安全,web安全

13.扫描完成的进度条如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 14.生成的镜像校验结果如下图所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 15.在C盘下的对应的文件夹也会生成相应的文件,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全16.查看evidence_1.E01文件,如下:

二、利用X-Ways Forensics进行取证 

1.首先在C盘下,Workspaces文件下的X_ways_img下创建六个存放数据的文件夹,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 2.打开X-Ways Forensics工具,点击菜单栏的Options,点击General,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

3.更改文件的路径。将以下图示的位置更改为步骤1设置的目录中,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

4.创建一个新的Case,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

将新的case命名为test_1,选择存放的路径为X_ways_img下的images中,添加为:A test for homework,添加实验者为zhongsirong。具体如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 5.在File下选择Add Medium,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 6.选择磁盘为E盘,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

7.在File中选择创建磁盘镜像,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

 创建完成,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全

 查看Drive E.txt可以看到E盘的哈希值的MD5码,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全

 最后将E盘移除,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

 8.接着是F盘进行同样的操作,如下所示:

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

ftk取证,windows,网络安全,安全,系统安全,web安全

9.完成以上的步骤后,E盘和F盘会生成对应的E01文件,如下所示。

点击File,Add Image,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全

加入上面生成驱动镜像文件,如下 :

ftk取证,windows,网络安全,安全,系统安全,web安全

 10.右键test_1下的DriveE,选择Properties,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全

 E盘取证成功,如下:

ftk取证,windows,网络安全,安全,系统安全,web安全

11.右键test_1下的DriveF,选择Properties,如下: 

ftk取证,windows,网络安全,安全,系统安全,web安全

 F盘取证成功,如下:ftk取证,windows,网络安全,安全,系统安全,web安全文章来源地址https://www.toymoban.com/news/detail-586935.html

到了这里,关于计算机取证(Windows)FTK+X-Way取证复制的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [计算机入门] Windows对话框

    在图形用户界面中,对话框是一种特殊的窗口, 用来在用户界面中向用户显示信息,或者在需要的时候获得用户的输入响应。之所以称之为 对话框 是因为它们使计算机和用户之间构成了一个对话——或者是通知用户一些信息,或者是请求用户的输入,或者两者皆有。 不同的

    2024年02月12日
    浏览(46)
  • Windows 计算机加入域和登录域

    1 . 将Windows 计算机加入域     客户端计算机必须加入域,才能接受域的统一管理,使用域中的资源。在目前主流的Windows 操作系统中,除Home版外都能添加到域中。    下面以Windows 10系统为例,介绍将计算机添加到域的操作步骤。 (1) 在【Internet 协议版本4(TCP/IPv4)属性】对

    2024年02月02日
    浏览(39)
  • windows激活提示“非核心版本的计算机”

    激活windows 10LTSC版本,出现错误提示,查了一下,都说是WMI错误,都没有找到修复工具,可以试试下面的脚本 使用方法:复制并保存为wmi.bat @echo on cd /d c:temp if not exist %windir%system32wbem goto TryInstall cd /d %windir%system32wbem net stop winmgmt winmgmt /kill if exist Rep_bak rd Rep_bak /s /q rename

    2024年02月04日
    浏览(45)
  • Windows 10计算机性能优化:让你的电脑更流畅

    Windows 10是目前最流行的操作系统之一,但在长期使用过程中,可能会出现一些性能方面的问题。本文将为你介绍如何选择合适的Windows 10版本,并提供一些优化技巧,使你的电脑性能更加流畅。此外,还将特别关注游戏用户和工科工作流,提供相应的优化方向。让我们开始吧

    2024年02月10日
    浏览(58)
  • 计算机基础专升本笔记九-Windows7基础(一)Windows 7 介绍

      Microsoft公司从1983年开始研制Windows系统,最初的研制目标是在MS-DOS的基础上提供一个多任务的图形用户界面。   1985年,第一个版本的Windows 1.0问世,它是一个具有图形用户界面的系统软件。   直到1990年微软推出Windows 3.0成为一个重要的里程碑,它以压倒性的商业成功

    2024年02月01日
    浏览(69)
  • 【计算机视觉—python 】 图像处理入门教程 —— 图像属性、像素编辑、创建与复制、裁剪与拼接【 openCV 学习笔记 005 to 010 and 255】

    OpenCV中读取图像文件后的数据结构符合Numpy的ndarray多维数组结构,因此 ndarray 数组的属性和操作方法可用于图像处理的一些操作。数据结构如下图所示: img.ndim:查看代表图像的维度。彩色图像的维数为3,灰度图像的维度为2。 img.shape:查看图像的形状,代表矩阵的行数(高

    2024年01月19日
    浏览(72)
  • 山东专升本计算机基础 --- Windows 10 操作系统安全

    1、Windows 10 系统安装的安全 操作系统的安全和安装操作系统的选项密切相关。 选择 NTFS 文件格式分区 组件的定制安装 Windows 10 在默认情况下会安装一些常用的组件,默认安装是很危险的,应仅安装需要的服务。根据安全原则, 最少的服务 + 最小的权限 = 最大的安全。 分区和

    2024年04月26日
    浏览(53)
  • Windows 10沙箱安全隔离的虚拟环境保护你的计算机

    Windows 10的沙箱(Windows Sandbox)是一项先进的虚拟化技术,它提供了一个隔离的运行环境,可以在其中安全地运行不受信任的应用程序或文件,同时不会对主机操作系统和数据造成任何影响。沙箱为用户提供了一个安全的测试和试验环境,可以防止恶意软件感染和系统损坏。在

    2024年02月15日
    浏览(41)
  • 计算机 - - - windows电脑搭建FTP局域网文件传输服务器

    控制面板,打开程序和功能,启用或关闭Windows功能。 勾选这几个 然后点确定,应用更改成功后重启电脑生效。 打开IIS管理器。 添加ftp站点。 输入ftp站点名称,选择文件存放的物理路径。 ip地址设置为当前电脑的ip地址,端口默认21,无SSL。 身份验证选择匿名,基本(不选

    2024年02月07日
    浏览(51)
  • 记录一次sqlserver启动不了的问题,windows不能在本地计算机启动sql server

    如果你是开机后突然启动不了的,大概率是关机的时候vpn忘了停止,然后开机后网络出现问题造成sqlserver用不了。用下面这个方法大概率可以启动吗,如果启动成功的话记得给我点个赞吧 第一步,关闭这三个sqlserver配置服务 第二步,重启电脑 第三步,从任务管理器打开服务,找到

    2024年02月03日
    浏览(65)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包