windows的仿真是一种常用的方式,也是对于windows取证的重要过程,废话不多说,直接上干货!
参考文章:
【镜像仿真篇】特殊的Windows11系统镜像仿真之旅(长篇):https://mp.weixin.qq.com/s/KsZOEGJ3sn53NQs8AveUCQ ,作者是 DFIR蘇小沐
实验软件:各种版本的仿真工具,镜像:2022长安杯windows检材
建议:多准备一些不同版本的仿真工具,避免仿真时出现问题,根据长时间的测试,对于windows来说仿真最为稳定的是Imager3.3版本,可以较好地挂载windows10。至于windows11镜像,暂时因为手中没有win11的镜像,故没有尝试挂载,但是可以参考上面文章来挂载windows11。如果在仿真最后出现物理磁盘被占用等情况,可以尝试换其他版本工具仿真挂载尝试。
step1:仿真过程
使用ftk仿真有蓝屏的不稳定风险,但是其他的工具挂载都仿真不成功,所以这里使用了FTK3.3版本进行仿真。
注意这里要选择UEFI引导
磁盘选择IDE,网上有不少教程使用SATA,包括各种仿真工具也是,但是这里我个人认为使用IDE相对来说成功率更高,如果IDE失败,可以尝试SATA或者SCSI
这里和linux仿真一样,启动虚拟机工具时要用管理员模式,不然选择不了具体的物理磁盘
选择最新挂载的物理磁盘
然后全部确定下一步,打开虚拟机即可
step2:密码绕过
密码绕过这里提倡两种方式
方式一:猕猴桃+hashcat爆破SAM
条件:密码简单可以直接爆破出来
挂载镜像之后使用猕猴桃获取hash
lsadump::sam /system:"J:\Windows\System32\config\SYSTEM" /sam:"J:\Windows\System32\config\SAM"找到目标用户的hash
Hash NTLM: 7ec356a830f3ff153346b018879cfbf1hashcat -m 1000 -a 0 7ec356a830f3ff153346b018879cfbf1 rockyou.txt找到密码
方式二:shift粘滞键更换cmd提权
条件:在Windows粘滞键功能未关闭的情况下都可以使用
在c"\windows\system32路径找到sethc这个应用程序,把它随便改一个名字。然后找到cmd,并把cmd改名为sethc
首先使用FTK工具挂载,选择writable模式挂载,同时注意写入文件最好不要和镜像文件在同一个目录下面
在:\windows\system32路径找到sethc这个应用程序,把它随便改一个名字。
但是修改时会出现这个,这里要给一下权限
右键点击文件→ 属性 → 安全 , 点击 “高级” 按钮。
在弹出的窗口中点击 “所有者” 后面的 “更改”,弹出“选择用户或组”窗口。
点击“高级” → 立即查找 → x选择Administrators → 点击两次“确定”按钮 。
都确定之后,重新点击高级,点击更改权限
点击右下角的“更改权限”按钮,在弹出的窗口中的右下角的方框中打勾。如果Administrators的权限是“完全控制”,直接点击“确定”和“是”就可以了;如果不是“完全控制”,选中Administrators,点击“编辑”按钮。
此时授权完毕,然后更改名称
然后找到cmd,并把cmd改名为sethc
然后和前面的操作一样,再次授权
成功替换
替换仿真好之后,然后再仿真成功后更改密码
在开机登录界面调用cmd窗口绕过原密码并进入Windows。
连按五下shift键,弹出cmd窗口,执行粘滞键成功变更为调用cmd窗口。
输入net user "Web King" 123
然后登录成功
windows仿真会出现各种问题,比如media缺失,引导程序缺失,物理磁盘占用等;一般来说如果缺失引导程序就是选择了bios启动,物理磁盘占用的话,可以选择其他版本的工具挂载尝试。
注:手动仿真有风险,使用一段时间之后可能会出现如下风险(解决方法:重新仿真一个就行了,两三分钟就能解决):
