在某些情形下,通过磁盘复制机将物理计算机的磁盘进行拷贝,形成raw文件,这时需要对其硬拷贝的磁盘文件进行查看和获取密码,通过实际测试,可以通过AccessData FTK Imager加载磁盘文件进行查看,同时还可以通过StarWindConverter将raw文件转换为vmdk文件后,通过创建虚拟机加载该磁盘文件再现还原镜像。
1.1.1安装AccessData FTK Imager软件
FTK Imager 是免费的镜像工具,功能强大,支持几十种镜像格式,E01、DD、L01、DMG、VMDK、VHD、AD1,使用过程中几乎没有遇到挂在不了的镜像格式。FTK Imager强大之处还在于可以获取当前内存镜像、获取受保护的文件,例如直接获取当前系统的注册表文件。其公司网站为:https://accessdata.com。安装过程很简单,根据提示进行安装即可。
1.1.2加载镜像文件
运行AccessData FTK软件,单击菜单中的“File”-“Image Mounting”,如图1所示,在Image中选择需要加载的镜像文件,在Mount Method中选择相应的方法,如果仅仅是取证则选择只读,否则选择可写。然后单击“Mount”加载镜像文件到磁盘。
图1加载镜像文件
1.1.3访问逻辑磁盘并提取相应文件
1.替换讲述人utilman.exe或者sethc.exe
到G:\Windows\System32下,找到utilman.exe或者sethc.exe,选择重命名,如图2所示,会弹出文件访问拒绝窗口,其原因是对该磁盘文件无授权,需要进行授权。
图2文件拒绝访问
2.给程序授权
重新选择程序,选择“属性”-“安全”-“高级”-“所有者”-“编辑”-“其他用户或组”,将本地计算机账号添加在其中,如图3所示,然后再回到“安全”属性窗口,添加本地账号到组和用户中,并设置添加账号完全控制权限,如图4所示。也可以给整个磁盘更改所有者权限和文件权限。
图3更改所有者权限
图4更改程序权限
3.重命名程序并替换
将系统盘下的utilman.exe和sethc.exe复制到其他地方,使用系统的cmd.exe文件替换utilman.exe和sethc.exe。
1.1.4提取SAM、SECURITY和SYSTEM文件
到G:\Windows\System32\config文件夹下,将SAM、SECURITY和SYSTEM文件复制出来,然后利用saminside进行导入,如图5所示,导入时,选择导入SAM文件,程序会提示依次导入SAM、SECURITY和SYSTEM文件,导入成功后,会显示其密码值。在本例中由于其密码强大比较高,使用了各种方法都没有将其密码破解成功。
图5提取windows账号哈希值
1.1.5转换镜像文件为VMware格式
1.卸载镜像文件
在AccessData FTK程序中,选择刚才加载的镜像文件和磁盘,选择unmount卸载镜像文件加载。
2.将raw文件进行重命名
将磁盘镜像文件重命名为img文件。原来的文件后缀为.raw文件。
3. StarWindConverter转换img为vmdk文件
运行StarWindConverter将img文件转换为vmdk格式文件,通过vmware创建新的虚拟机来使用该文件,记得一定要自定义安装虚拟机,然后在磁盘中选择加载vmdk文件。
4.修改虚拟机启动项
经过上面的步骤后,可以通过正常启动虚拟机来仿真系统,但有时候可能无法破解系统密码,这时候就需要在虚拟机启动的瞬间按下“F2”快捷键在BIOS中设置启动选项,允许光盘和U盘启动,利用cdlinux、bt5、pe启动光盘等启动系统,进入后通过替换sethc.exe、magnify.exe、osk.exe、utilman.exe成cmd.exe程序在启动时,通过粘滞键和放大镜以及讲述人辅助程序来激活cmd.exe,通过net user test test123 /add以及net localgroup administrators test /add命令新增加一个用户来登录系统,当然也可以选择PE启动光盘直接清除系统密码。