在电子取证中,遇到的是镜像格式,首先就需要镜像仿真进入系统,还经常会遇到系统有密码的情况,这一步很多人会选择同型号的系统镜像来替换,但是,系统镜像动辄4、5个GB大小,下载速度慢、修改步骤复杂,此篇介绍设置光驱启动的方法,加载PE镜像工具破解Windows系列密码 ---【suy】
2、镜像仿真教程:【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真
一、DD镜像仿真
1、实验数据
1)Windows Server (2008 R2)DD镜像; 2)VMware 16 pro虚拟机; 3)Windows 10操作系统; 4)老毛桃PE
2、镜像仿真教程:【电子取证:镜像仿真篇】DD、E01系统镜像动态仿真
二、虚拟机设置光驱启动
大部分人会选择设置U盘启动进PE,但案件往往不是一次就可以完成的,经常需要数周或数月,但U盘一直插着也不方便,而且每次开关机驱动器盘符都可能会变动,就需要再次进BIOS设置,特别麻烦。
这里提供一个小技巧,那就是将包含密码破解的PE工具,制作成“ISO”镜像,开机直接进PE绕过密码,不用再每次开关机都进BIOS设置一遍。
(一)虚拟机添加PE工具ISO镜像
路径:编辑虚拟机设置->添加->CD/DVD(SATA)->使用ISO映像文件(M);
虚拟机设置选择“使用ISO映像文件(M)”,加载制作好的PE工具。
(二)进BIOS设置“光驱”启动
由于U盘启动不是很方便,对于经常要分析的镜像,设置光驱启动后,就不用每次都再进BIOS设置了。
1、手速要快
手速一定要快,不然很容易就跳过了BIOS直接进入到操作系统;
左手按键盘,右手摸鼠标,鼠标点击的一刻,不断点击键盘F2键(其他快捷键可能为ESC、F8、F10、F12等)。
2、设置光驱启动
路径:"BIOS"->"Boot"->"CD-ROM Driver"->上移首位;
设置完成后,F10保存设置,重启虚拟机进入系统。
3、密码绕过
如果是服务器镜像,则密码清除这个操作不建议,它是通过修改路径:“\Windows\SYSTEM32\CONFIG”下的sam文件,容易导致服务器的数据库出现权限问题报错,后续修改起来还是比较麻烦的,所以服务器镜像优先选择绕过密码!
4、自动重启进入系统
点击密码绕过之后会自动进入下面界面进行密码破解,成功后自动重启进入操作系统。(如果没有自动重启,而是还一直卡在该界面,则说明选择的密码绕过模式不对,没有破解密码成功,需重新选择其它项密码绕过。)
自动重启进入操作系统;(有时候会出现“Windows错误恢复”,选择正常启动Windows即可)。接着后点击虚拟机上方按钮将快捷键“CTRL+ALT+DELETE”发送到虚拟机,进入用户桌面。
再点击需要登录的用户,(可能提示输入密码,直接Enter键)即可进入操作系统桌面。
总结
注意看镜像系统类型,再结合实际需求来选择密码绕过、密码修改、或密码移除。
名称 | 时间 |
---|---|
最后编辑日期: | 2020 年 12 月 04 日 |