工具使用

取證工具：winhex，FTK Imager，VMware-converter

掛載工具：Arsenal-Image-Mounter-v3.1.107

簡介

在windows平臺中一般使用VMware-converter來進行取證，因爲這種方式是在系統跑起來之後進行取鏡像，而且取出來直接是vmware可以識別的格式，直接可以在分析時仿真起來，但是有時候由於任務限制，取證不允許在對方主機上安裝任何軟件，所以只能使用winhex，或者FTK，但是winhex在本人非盤對盤對拷試驗時，無法掛載，所以更不談仿真，所以後來使用ftk進行取鏡像，但是這次專項出現翻車，取回來幾十臺主機，win10全部能仿真但是win7出現很多無法仿真的情況。下面就分別介紹取證與仿真

取鏡像

VMware-converter取鏡像與仿真

首先安裝VMware-converter，(win10記得選擇管理員權限打開軟件，不然無權限讀取硬件信息)第一步選擇convert machine，轉化系統

接着選擇是本機還是遠程，這裏因爲要取本地機，所以選擇local machine

然後選擇取證生成的鏡像目標類型，因爲分析使用vmware這裏就選如圖vmware，select vmware product是選擇適配vmware的版本，最後一個選項select a location for the vitual machine選擇是保存位置，這裏就是我們的取證存儲設備，比如移動硬盤或者nas。

然後一路next，直到finish，中間優先提示和選項都可以根據具體修，改不改也行，最後就如圖

當完成時候就生成了vmware可以跑起來的鏡像。格式是vmdk，仿真就直接可以用vmware打開。

FTK Imager取鏡像仿真

因爲取證任務中會出現，不允許在對方主機安裝軟件的拷貝方式，這裏我們選去的是ftk Imager取鏡像，然後使用Arsenal-Image-Mounter掛載鏡像，vmware仿真

步驟如下：

打開FTK，選擇創建鏡像如圖

然後默認物理磁盤

然後下圖就是選擇取哪塊盤的鏡像，一般都是一個個全部都取走

然後點擊add，下面的紅框第一個是驗證是否取證正確，點不點都可以，如果時間緊可以不選

境界着是取目標鏡像保存的類型，這裏選dd

下一步是一些註釋信息，可寫可以不寫，本人是習慣寫個readme，保存鏡像使用不同名字，然後再reademe標明清楚

境界着就是鏡像保存目標的一些設置，image Destination Folder是目的地，image Filename是鏡像保存的名字，如果多臺機器多個硬盤就可以以IP+第幾塊盤以試區分，還有Image Fragment size是鏡像分塊的大小，本人習慣一個鏡像一個文件，所以一般刪去1500，這裏什麼都不選，最後點finish就可以靜等生成鏡像了，這裏一般生成的是.001格式