【镜像取证篇】DD、E01系统镜像仿真

理想滚烫，人生再无星河！—【蘇小沐】

在电子取证分析过程中，我们经常遇到DD、E01等系统镜像，然而，并非所有工作者手边都有自动化取证软件。我们如何利用手上的资源，将镜像给仿真起来查看里面的数据？本文以E01镜像为例（DD镜像相同），我们来通过简单的操作进行手动仿真，让镜像数据活起来！

| 系统 | 版本 | | :------------------------ | :------- | | FTK Imager | v4.5.0.3 | | VMware Workstation 15 Pro | v15.5.2 |

（一）FTK Imager 挂载镜像

主要使用FTK Imager“可写”模式，挂载系统镜像到本地驱动器！（建议以管理员权限运行）。

FTK Imager “可写”模式挂载系统镜像为本地驱动器。

路径:文件->Imager Mounting;

1）特别强调第2步！一定要选择“可写”模式，否则镜像无法仿真起来!

2）mount成功后，会在本地磁盘显示出新的分区，可以打开Windows资源管理器查看，以及默认在镜像位置新生成一个后缀为“.adcf”的镜像同名文件，用来存放可写模式下镜像被修改的数据。

镜像挂载前后对比！

挂载成功后，默认在镜像的位置下生成一个后缀为".adcf"的同镜像名文件，用来存放镜像虚拟写入的文件。

VM新建虚拟机仿真系统镜像。

选择对应操作系统；填写虚拟机名称、虚拟机保存的位置，默认保存在C盘，建议自定义保存在其它容量大的分区里面。

如果不清楚镜像类型：

这个很重要！选择错误，系统无法正确引导启动。Windows配置方面，旧系统统一般选择BIOS，现在多数电脑都是UEFI，具体看挂载起来的系统镜像。

有条件的建议配置高一些，方便运行虚拟机。处理器和内存分配太小了会卡，有时候镜像数据量大还不一定能运行起来。

磁盘类型一样看所选镜像，这里测试了选择“SATA、SCSI”都可以启动成功，选“NVMe”不行，猜测镜像文件非NVMe固态硬盘所做。

选择“使用物理磁盘”，通常第一次选择，点击下一步会请求以管理员权限运行，需要允许！然后设备选择前面 FTK Imager 挂载起来的对应驱动器号，磁盘默认选择使用整个磁盘即可。

到这里直接下一步即可完成虚拟机的创建了。整体上需要注意的几个点，细心就行了。

前面操作没问题的话，系统镜像就正常被启动起来了。

看分区类型，如果显示EFI，固件类型只能选择“UEFI”，不能选择“BIOS”！！！否则出现以下报错，而且无法进入系统！！！

（并非出现了这个界面就是错了，只有继续点击下一步，出现找不到系统报错，则你需要重新操作，尝试选择其它固件类型）。

引导选择错误后，选择忽略，还是无法进入系统！

常出错的几个点都列出来了，在这里还是多说几句，经过测试发现 FTK Imager 新版本在挂载镜像的时候不是很稳定，程序容易崩掉！如发现系统仿真不起来，建议更换FTK Imager低版本的再试下，这可能是最快速的方法。

| 名称 | 时间 | | :----- | :--------------- | | 开始编辑日期 | 2020 年 10 月 26 日 | | 最后编辑日期 | 2023 年 04 月 10 日 |