【镜像仿真篇】特殊的Windows11系统镜像仿真之旅(长篇)

文摘   2024-06-03 12:00   湖北  

特殊的Windows11系统镜像仿真之旅,记一次CNAS能力验证的Windows11系统镜像仿真教程,及凭经验陷入的一次思维误区---【蘇小沐】


1

实验环境



2023AFS39.E01(Windows11系统镜像)
Arsenal Image Mounter,[v3.10.262]
Vmware Workstation 17 Pro,[v17.5.1]
Windows 11 专业工作站版,[23H2(22631.3447)]

一、完整的磁盘系统镜像仿真教程

Windows镜像仿真

 

1



(一)

挂载磁盘系统镜像


Windows10 21H2之后,使用FTK Imager挂载磁盘系统镜像的速度慢了很多,而且容易报错;这里使用的是Arsenal Image Mounter磁盘镜像挂载神器,挂载磁盘系统镜像比较快速稳定。

1

Arsenal Image Mounter挂载磁盘


打开"Arsenal Image Mounter",选择底部栏的"Mount disk Image"来选择需要挂载的磁盘系统镜像。

【仿真关键点一:虚拟写挂载磁盘系统镜像】

磁盘设备选择"write temporay"虚拟写,这是仿真必须;其它还有一些个性化设置,这里选择默认即可。

为了更准确的查看是否只有这两个分区,我们需要进入到"磁盘管理"里面查看,核查到磁盘3确实只有这两个分区信息。

(如果分区"未分配盘符"或者处于"脱机"状态,那么该分区是不会显示在文件资源系统管理界面的,我们需要进入到"磁盘管理"中会查看到该磁盘较全的信息。这种情况在现场勘察的时候尤为需要注意,避免错过重要信息!)

2

 


(二)

创建虚拟机


镜像虚拟可读写挂载成功后,接下来就是创建虚拟机来仿真的过程。

1

自定义(高级)虚拟机设置


选择自定义(高级)虚拟机设置,方便我们对一些参数进行设置。

2

新建虚拟机类型


按照步骤选择虚拟机设置,硬件兼容性选择最新即可,接着选择"稍后安装操作系统(S)",选择Windows11版本(已知镜像为Windows11系统镜像,如果不清楚原始磁盘类型,可根据实际挂载的镜像查看文件结构内容和案件来尝试)。

设置虚拟机名称、保存位置、加密虚拟机信息等。


3

"固件类型"


【仿真关键点二:固件类型的选择】

这里有个坑的地方,VM虚拟机创建Windows11默认是"UEFI",BIOS选项为灰色,此处不支持更改固件类型为"BIOS"。(为什么说此处不支持,因为创建好虚拟机后可以在虚拟机的高级设置里再做更改!)

处理器、内存、网络类型、控制器选择默认配置即可。

4

"固件类型"


【仿真关键点二:固件类型的选择】

不同的系统,虚拟机推荐的设置不一样,需要考虑到的因素有很多,如现在的软硬件更新换代很快,现在很多笔记本电脑的接口都只预留了Nvme接口类型,最新的Windows11系统支持的CPU也是最近几年的型号,很多旧型号都不再支持。

5

"固件类型"


【仿真关键点四:物理磁盘的选择】

磁盘选择"使用物理磁盘(适用于高级用户)(P)",选择此选项可为虚拟机提供直接访问本地硬盘的权限,需要具有管理员特权。然后选择镜像挂载时显示的磁盘号,这里是选择磁盘3。

(使用情况可选择"使用整个磁盘(E)",或者选择"使用单个分区(P)",如果选择的是"使用单个分区(P)",必须选对系统镜像的安装分区,不然仿真不起来)

3

完成虚拟机的配置/自定义硬件


我们先直接完成虚拟机的创建,看看这样能不能仿真起来,不能的话报错什么。

3

 


(三)

界面常见报错:

No Media、unsuccessful


1

启动虚拟机


因为现在的Vmware创建虚拟机前面需要设置加密的原因,所有启动虚拟机会提示这个,可不用理它,点击确定即可。

接着开启我们刚刚创建好的虚拟机,看看能不能成功仿真起来!提示无法连接虚拟设备的话,选择是就行,这个不影响。

2

系统界面报错:虚拟机配置过程镜像出错


挂载磁盘镜像,按步骤创建好虚拟机后,能进入创建好的虚拟机系统界面。

其实系统界面报错很明显了:当时一直忽略了这个重要信息,这个并非是物理机本机系统环境出错,而应该是创建磁盘镜像虚拟机时选择的参数出错,不然进不了镜像的系统配置界面。以下是常遇到的进不了系统界面的截图,常见界面报错有"NUME:No Media"、"SATA:No Media"、"SATA:unsuccessful"等。

过一会可能会自动跳转到Boot Manager管理界面,但还是无法进入进入系统。

4

 


(四)

修改固件类型


知道了报错原因,那么我们可以修改当前虚拟机的"编辑虚拟机设置",直接进入到虚拟机设置管理界面来修改设备参数。在这里修改的好处就是免去了因为前面参数设置的不对,再重新创建虚拟机的各个繁琐步骤。

这里主要修改的是"固件类型"和"磁盘类型",对于前面创建Window11虚拟机设置了的这两个参数进行更改,尤其是一些无法修改的参数,如BIOS就可以直接在此项的高级设置里面进行更改!!!

1

虚拟机设置-硬件:更改虚拟磁盘类型为IDE


因为前面创建虚拟机时,我已经选择了虚拟磁盘类型为IDE模式,所以此处不需要修改。

如果有之前选的虚拟磁盘类型不是IDE模式,可以先选择移除此硬盘项,再添加新的硬件类型选择硬盘,虚拟磁盘类型选择"IDE(I)",接着按照之前的步骤往下即可。

3

虚拟机设置-选项:更改固件类型为BIOS


在选项里面,选择高级设置,进入到固件类型,将UEFI更改为BIOS。

【路径:虚拟机设置->选项->高级->固件类型-BIOS(B)】

 

3

成功仿真


更改之后,重新启动虚拟机,可以顺利进入操作系统界面。


等正在准备设备进度跑完后,成功仿真系统镜像。


 

二、无系统界面:物理机本机系统环境导致的虚拟机功能报错

常见的镜像仿真无系统界面报错

此处主要是物理机本机系统环境配置等导致的虚拟机报错,一般是直接启动虚拟机就提示各种报错,并无法进入到磁盘系统镜像的任何界面。

 


(一)虚拟机报错:

物理磁盘已被使用


虚拟机配置完成,启动虚拟机时直接报错:"物理磁盘已被使用,打不开盘"xxx"或它所依赖的某个快照磁盘。模块"Disk"启动失败。未能启动虚拟机。"

物理磁盘已被使用。

打不开盘"E:\VM2023AFS\2023AFS.vmdk"或它所依赖的某个快照磁盘。

模块"Disk"启动失败。未能启动虚拟机。

 

1

资源监视器:查找占用进程


快捷键Win+R打开运行,输入"resmon"进入资源管理器。

资源监视器中选择"CPU",在关联的句柄中输入被占用的"磁盘/分区盘符+英文冒号"查询。

【路径:资源监视器->CPU->关联的句柄】

直接管理器结束占用的任务(一般不需要重启电脑,但可能需要重启VM虚拟机)。结束占用的程序后再刷新可看到磁盘不再被占用。

 

【扩展】VMware挂载物理磁盘提示被占用
    

删除.lck的文件或者文件夹

删除.lck的文件或者文件夹。




修改.vmx文件

找到虚拟机所在的目录,将 .vmx文件打开,将文件vmci0.present = "TRUE"改为 vmci0.present = "FALSE"。


将文件vmci0.present = "TRUE"改为 vmci0.present = "FALSE"。




关闭虚拟机镜像所在盘的pagefile.sys文件

模块“disk”启动失败可能的原因是磁盘上面有pagefile.sys文件,这个是windows的页面文件,只要windows启动,一直会被占用。

【路径:右击桌面我的电脑->属性->高级系统设置->高级->性能设置->高级->虚拟内存更改->把vmdk所在的磁盘分区文件设置为无,重启电脑即可】


(1)查看高级系统设置

【路径:右击桌面我的电脑->属性->高级系统设置->高级->性能设置->高级->虚拟内存更改->把vmdk所在的磁盘分区文件设置为无,重启电脑即可】


进入到系统属性的高级设置,点击性能设置,进入性能设置的高级设置,再点击虚拟内存更改。

【路径:系统属性->高级->(性能)设置->高级->(虚拟内存)更改】


(2)去掉"自动管理所有驱动器的分页文件大小(A)"

去掉勾选虚拟内存的"自动管理所有驱动器的分页文件大小(A)",主要是对磁盘系统镜像所在的分区的虚拟内存进行更改设置。

去掉显示。如果磁盘系统镜像所在的分区是系统分区(一般是本机的C分区),记得点击虚拟内存的"设置"应用,不然可能更改不成功。


(3)重新启动计算机

要使系统属性改动生效,需要重新启动计算机。


2


(二)

计算机系统镜像挂载报错Volume Shadow Copy


原因是:Windows操作系统中的"Microsoft Software Shadow Copy Provider"和"Volume Shadow Copy"这两项服务未开启。报错如下:

 

3


(三)

开启"管理卷影复制"服务


 可以直接搜索服务,进入到服务管理页面开启相关服务。

 

1

启动"Microsoft Software Shadow Copy Provider"服务


"Microsoft Software Shadow Copy Provider"功能描述:启动"管理卷影复制服务",管理卷影复制服务制作的基于软件的卷影副本。如果该服务被停止,将无法管理基于软件的卷影副本。如果该服务被禁用,任何依赖它的服务将无法启动。

开启"Microsoft Software Shadow Copy Provider"服务,并设置为自动启动。

2

启动"Volume Shadow Copy"服务


"Volume Shadow Copy"功能描述:管理并执行用于备份和其它用途的卷影复制。如果此服务被终止,备份将没有卷影复制,并且备份会失败。如果此服务被禁用,任何依赖它的服务将无法启动。(必要时设置开机自启)

开启"Volume Shadow Copy"服务,并设置为自动启动。


总结


镜像手动仿真或许都做过,其实应该不难才对,那为什么还会有这篇。我是因为这次的仿真,忽然意思到自己在不知不觉也陷入到经验思维的误区,一开始就是凭经验,在知道这个磁盘系统镜像是Windows11的情况下,就没考虑过虚拟磁盘类型选择IDE类型,已经先入为主的就否定了它。想到了福尔摩斯中说过的一句话"在一切合理的答案都被逻辑排除后,剩下的那个因为主观,所以被贴上"不可能"的标签的答案即为正解"。

经验既是丰富经历的结晶同时也是经历的思维牢笼,可能也会使思维变得狭隘,如果此路不通,不妨让自己放空,走出经验的认知。

声明

书写片面,纯粹做个记录,有错漏之处欢迎指正。

公众号回复关键词镜像仿真自动获取资源合集。

【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】

【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】

记录

开始编辑:2024年 04月 18日

最后编辑:2024年 04月 27日

 

END


往期精彩回顾



▲ 【镜像仿真篇】ESXi镜像仿真教程

▲ 【镜像仿真篇】磁盘镜像仿真常见错误

▲ 【镜像仿真篇】DD、E01系统镜像仿真教程



 

关注我,了解更多取证知识,别忘+看哦!

DFIR蘇小沐
致力于电子数据取证(数字取证)与事件应急响应实战技术经验分享,计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】
 最新文章