0


计算机取证(Windows)FTK+X-Way取证复制

一、利用FTK Imager 进行取证复制

1.在windows 10虚拟机添加一个硬盘2,分配1G的磁盘空间,如下图所示:

2.将物理机下载的用到的软件拷贝到windows虚拟机中,如下所示:

3.打开DiskGenius工具建立新分区,为下面抓取磁盘镜像做准备,如下所示:

4.建立新分区,选择拓展磁盘分区,如下:

接着,选择逻辑分区,文件系统类型为FAT32,分区大小设为500MB,如下:

最后,选择逻辑分区,文件系统类型设为NTFS,磁盘分区为剩下的字节,如下所示:

完成以上分区设置后,保存更改。即可完成新磁盘的分配,如下所示:

5.在我们的windows 10虚拟机中,选择三个较小的文件,分别存放到刚刚分好的磁盘E和F中,这里我选择将Windows Mail和Windows NT存放到E盘中,将Windows Photo Viever存放到F盘中,如下所示:

6.在磁盘C下,创建三个文件夹,用于存放实验过程中产生的数据,如下:

7.打开FTK ImagerChs,点击内存条图表,如下图所示:

更换内存抓取的目标路径为刚刚在C盘创建的文件夹Workspaces的子目录memory中,使用自动生成的目标文件名,最后点击抓取内存,如下图所示:

完成以上步骤后,会出现如下的内存获取进度条,表示内存抓取成功,如下:

我们通过以下步骤进行验证。

8.点击文件下的添加图标,选择镜像文件,然后点击下一步。如下所所示:

接着,选择源证据的目录,即我们在第7步生成的目标文件的位置,最后点击Finish,如下所示:

9.完成以上步骤后在证据树下会生成一个memdump的证据,右键选择校验驱动器/镜像,如下所示:

校验后会生成一个校验结果,说明抓取镜像成功,如下所示:

最后,右键将镜像移除,如下所示:

10.使用FTK Imager创建磁盘镜像,如下:

选择物理驱动器,如下所示:

选择磁盘分区出来的1G的盘,然后点击Finish,如下所示:

完成上面后,会出现一个Create Image页面,点击Add,选择目标镜像类型为E01如下所示:

11.添加证据项的信息,案件编号设置为:具体如下所示:

12.更改镜像路径。存放到C盘中的新建的Workspaces下的子目录FTK_img中,更改镜像名称为证据1:evidence_1,如下所示:

更好以上数据后,勾选图示所有选项:

13.扫描完成的进度条如下所示:

14.生成的镜像校验结果如下图所示:

15.在C盘下的对应的文件夹也会生成相应的文件,如下:

16.查看evidence_1.E01文件,如下:

二、利用X-Ways Forensics进行取证

1.首先在C盘下,Workspaces文件下的X_ways_img下创建六个存放数据的文件夹,如下所示:

2.打开X-Ways Forensics工具,点击菜单栏的Options,点击General,如下所示:

3.更改文件的路径。将以下图示的位置更改为步骤1设置的目录中,如下所示:

4.创建一个新的Case,如下所示:

将新的case命名为test_1,选择存放的路径为X_ways_img下的images中,添加为:A test for homework,添加实验者为zhongsirong。具体如下所示:

5.在File下选择Add Medium,如下所示:

6.选择磁盘为E盘,如下所示:

7.在File中选择创建磁盘镜像,如下所示:

创建完成,如下:

查看Drive E.txt可以看到E盘的哈希值的MD5码,如下:

最后将E盘移除,如下所示:

8.接着是F盘进行同样的操作,如下所示:

9.完成以上的步骤后,E盘和F盘会生成对应的E01文件,如下所示。

点击File,Add Image,如下:

加入上面生成驱动镜像文件,如下 :

10.右键test_1下的DriveE,选择Properties,如下:

E盘取证成功,如下:

11.右键test_1下的DriveF,选择Properties,如下:

F盘取证成功,如下:


本文转载自: https://blog.csdn.net/zsrzy/article/details/129965194
版权归原作者 Zoser-princessfly 所有, 如有侵权,请联系我们删除。

“计算机取证(Windows)FTK+X-Way取证复制”的评论:

还没有评论