在某些情形下,通過磁盤複製機將物理計算機的磁盤進行拷貝,形成raw文件,這時需要對其硬拷貝的磁盤文件進行查看和獲取密碼,通過實際測試,可以通過AccessData FTK Imager加載磁盤文件進行查看,同時還可以通過StarWindConverter將raw文件轉換為vmdk文件後,通過創建虛擬機加載該磁盤文件再現還原鏡像。
1.1.1安裝AccessData FTK Imager軟件
FTK Imager 是免費的鏡像工具,功能強大,支持幾十種鏡像格式,E01、DD、L01、DMG、VMDK、VHD、AD1,使用過程中幾乎沒有遇到掛在不了的鏡像格式。FTK Imager強大之處還在於可以獲取當前內存鏡像、獲取受保護的文件,例如直接獲取當前系統的註冊表文件。其公司網站為:https://accessdata.com。安裝過程很簡單,根據提示進行安裝即可。
1.1.2加載鏡像文件
運行AccessData FTK軟件,單擊菜單中的“File”-“Image Mounting”,如圖1所示,在Image中選擇需要加載的鏡像文件,在Mount Method中選擇相應的方法,如果僅僅是取證則選擇只讀,否則選擇可寫。然後單擊“Mount”加載鏡像文件到磁盤。
圖1加載鏡像文件
1.1.3訪問邏輯磁盤並提取相應文件
1.替換講述人utilman.exe或者sethc.exe
到G:\Windows\System32下,找到utilman.exe或者sethc.exe,選擇重命名,如圖2所示,會彈出文件訪問拒絕窗口,其原因是對該磁盤文件無授權,需要進行授權。
圖2文件拒絕訪問
2.給程序授權
重新選擇程序,選擇“屬性”-“安全”-“高級”-“所有者”-“編輯”-“其他用戶或組”,將本地計算機賬號添加在其中,如圖3所示,然後再回到“安全”屬性窗口,添加本地賬號到組和用戶中,並設置添加賬號完全控制權限,如圖4所示。也可以給整個磁盤更改所有者權限和文件權限。
圖3更改所有者權限
圖4更改程序權限
3.重命名程序並替換
將系統盤下的utilman.exe和sethc.exe複製到其他地方,使用系統的cmd.exe文件替換utilman.exe和sethc.exe。
1.1.4提取SAM、SECURITY和SYSTEM文件
到G:\Windows\System32\config文件夾下,將SAM、SECURITY和SYSTEM文件複製出來,然後利用saminside進行導入,如圖5所示,導入時,選擇導入SAM文件,程序會提示依次導入SAM、SECURITY和SYSTEM文件,導入成功後,會顯示其密碼值。在本例中由於其密碼強大比較高,使用了各種方法都沒有將其密碼破解成功。
圖5提取windows賬號哈希值
1.1.5轉換鏡像文件為VMware格式
1.卸載鏡像文件
在AccessData FTK程序中,選擇剛才加載的鏡像文件和磁盤,選擇unmount卸載鏡像文件加載。
2.將raw文件進行重命名
將磁盤鏡像文件重命名為img文件。原來的文件後綴為.raw文件。
3. StarWindConverter轉換img為vmdk文件
運行StarWindConverter將img文件轉換為vmdk格式文件,通過vmware創建新的虛擬機來使用該文件,記得一定要自定義安裝虛擬機,然後在磁盤中選擇加載vmdk文件。
4.修改虛擬機啟動項
經過上面的步驟後,可以通過正常啟動虛擬機來仿真系統,但有時候可能無法破解系統密碼,這時候就需要在虛擬機啟動的瞬間按下“F2”快捷鍵在BIOS中設置啟動選項,允許光盤和U盤啟動,利用cdlinux、bt5、pe啟動光盤等啟動系統,進入後通過替換sethc.exe、magnify.exe、osk.exe、utilman.exe成cmd.exe程序在啟動時,通過粘滯鍵和放大鏡以及講述人輔助程序來激活cmd.exe,通過net user test test123 /add以及net localgroup administrators test /add命令新增加一個用戶來登錄系統,當然也可以選擇PE啟動光盤直接清除系統密碼。
