邏輯成像儀

總覽

邏輯成像器使您可以從實時Windows計算機中收集文件。成像器配置有指定要收集哪些文件的規則。規則可以基于文件屬性，例如文件夾名稱，擴展名和大小。如果您沒有時間或沒有權限執行完整的驅動器采集，則可以使用此功能。

邏輯成像器可以兩種方式保存匹配的文件。默認方法是保存單個文件，這是較快的方法，并且使用較少的磁盤空間。另一種選擇是產生一個或多個稀疏的VHD映像，其中包含已讀取的所有文件系統數據。這些VHD圖像可以導入到尸檢中或由Windows安裝。在這兩種情況下，邏輯成像器還會枚舉系統上的用戶帳戶，并且如果存在加密程序，則可以生成警報。

常規工作流程是：

使用尸檢配置邏輯成像儀。這會將配置文件復制到目標驅動器，該配置文件指定要收集的文件和邏輯成像器可執行文件。
將驅動器插入目標系統并運行邏輯成像器。這將為您提供一個包含匹配文件或一個或多個稀疏VHD的文件夾，一個包含用戶帳戶信息的文件以及生成警報的文件的記錄。
將運行邏輯成像儀的結果加載到“尸檢”中，以瀏覽所有匹配的文件并查看用戶帳戶信息。

當前，邏輯成像器只能在Windows上配置，并且只能分析Windows系統。您還需要能夠在目標系統上以管理員身份運行邏輯成像器。

組態

首先，打開“尸檢”，然后轉到“工具”->“創建邏輯成像器”。

配置外部驅動器

正常使用情況是從“配置選定的外部驅動器”下的列表中選擇一個驅動器。完成配置后，這會將邏輯成像器可執行文件和配置文件放入該驅動器的根目錄中。請注意，由于FAT系統上的最大文件大小為4 GB，因此只能在非FAT驅動器（exFAT除外）上配置和運行邏輯成像器。
在文件夾中配置

如果尚未準備好設置驅動器，或者要創建其他配置文件，則可以使用第二個選項瀏覽到文件夾或現有配置文件。如果要創建新文件，請瀏覽至要在其中創建文件的文件夾。請注意，配置文件的默認名稱為“ logical-imager-config.json”。您可以更改它，但是如果這樣做，則需要在將其復制到驅動器或使用命令提示符運行成像器后重命名它。請參閱“ 從命令提示符運行 ”部分。

無論哪種情況，您現在都可以配置成像儀。如果配置文件已經存在，則此屏幕將加載文件中的當前設置。

在左側，您可以在配置文件中看到每個規則。這些規則均適用于實時系統。規則具有名稱，可選描述，一個或多個條件以及設置，用于在找到與該規則匹配的文件時應執行的操作。選擇規則后，您會在面板右側看到該規則的所有設置。選擇規則后，便可以對其進行編輯或刪除。右下角還有一些全局設置，它們適用于整個配置文件：

如果找到加密程序，則發出警報 -這將添加預定義規則以查找加密程序，并警報并導出找到的任何加密程序。您將無法編輯此規則。
退出成像器之前提示 -如果選擇，則必須在邏輯成像器運行結束時按一個鍵。這樣可以使命令提示符窗口保持打開狀態，以便您可以查看輸出。
創建VHD-如果選擇此選項，則在運行邏輯成像儀時將創建稀疏的VHD。請參閱下面的更多詳細信息。
- 執行搜索后繼續成像 -僅在創建VHD時相關。默認情況下，邏輯成像器將僅復制其使用的扇區或屬于要導出的匹配文件的一部分。如果選擇此選項，則邏輯成像器將在規則匹配完成后返回圖像，并復制到任何剩余扇區上。這將需要更長的時間才能運行，并且會產生更大的VHD圖像。

有關創建VHD而不是直接保存任何匹配文件的更多信息：

非VHD模式
- 在這種模式下，任何與啟用了“提取文件”的規則匹配的文件都將被復制到邏輯成像器輸出文件夾。路徑和名稱在輸出文件夾中被縮短，但是一旦將結果加載到“尸檢”中，它們就會以其原始形式出現。
- 優點：比創建VHD更快，通常將使用更少的磁盤空間
- 缺點：并非所有文件元數據都會保留。沒有保存有關文件系統的其他數據
VHD模式
- 在此模式下，邏輯成像器讀取的所有數據都將復制到VHD中。這將完整包括所有匹配的文件，以及系統上所有文件的元數據。
- 優點：匹配文件的更完整的元數據，除了匹配文件之外，還包含有關系統的信息。可以選擇復制整個文件系統。
- 缺點：速度較慢并且使用更多的磁盤空間。在尸檢中也可能會造成混淆，因為許多文件條目將沒有數據（它們的元數據已復制到VHD，但沒有其內容）

要創建新規則，請單擊“新規則”按鈕。

有兩種規則類型可供選擇：

屬性規則允許您輸入多個條件，這些條件必須是真實的文件才能匹配
全路徑規則允許您輸入一個或多個必須完全匹配的全路徑（路徑和文件名）

對于這兩種規則類型，首先輸入規則名稱和可選描述。找到匹配項后，您還需要選擇至少一項操作。

如果規則匹配，則在Imager控制臺中發出警報-這將在控制臺中顯示文件數據，并將其添加到“ alerts.txt”輸出文件中。
如果符合規則則提取文件-這將確保將匹配文件的內容復制到輸出文件夾或稀疏VHD

屬性規則可以具有一個或多個條件。為了使規則匹配，所有條件都必須為真。

擴展名-文件必須與給定的擴展名之一匹配（以逗號分隔）。擴展名不區分大小寫。
文件名-文件必須與給定的文件名之一匹配（用新行分隔）。文件名應包含擴展名，并且不區分大小寫。
文件夾名稱-文件必須與給定路徑之一匹配（用新行分隔）。給定的路徑可以是文件路徑的子字符串。您可以使用“ [USER_FOLDER]”來匹配系統上的任何用戶文件夾。例如，“ [USER_FOLDER] / Downloads”將與任何用戶文件夾中的downloads文件夾匹配，例如“ Users / username / Downloads”。
最小大小/最大大小-文件必須在給定范圍內。您可以使用兩個字段來指定一個范圍，也可以只使用一個來匹配所有大于或小于給定大小的文件。
修改時間-必須在指定的最后幾天內更改文件

全路徑規則只有一個條件。

完整路徑：文件必須與給定的完整路徑之一完全匹配（以新行分隔）

設置完所有規則后，請轉到下一個面板，然后單擊“保存”將配置文件和邏輯成像器可執行文件保存到所選位置。

運行邏輯成像儀

使用默認配置運行

在配置過程中使用默認值將在驅動器的根文件夾中創建一個配置文件（名為“ logical-imager-config.json”）的驅動器，以及一個邏輯成像器可執行文件。

默認情況是在除包含驅動器的驅動器之外的所有驅動器上運行邏輯成像器。請注意，邏輯成像器可執行文件必須位于根目錄中才能跳過驅動器。要運行成像器，請右鍵單擊“ tsk_logical_imager.exe”，然后選擇“以管理員身份運行”。這將打開一個控制臺窗口，您將在其中看到有關處理的一些信息，如果您設置了創建警報的任何規則，則也會在控制臺窗口中看到匹配項。根據您在配置過程中選擇的選項，處理完成后，窗口可能會自動關閉。

邏輯成像器將開始寫入可執行文件旁邊的目錄。

從命令提示符運行

要使用自定義設置運行邏輯成像儀，您需要首先在管理員模式下打開命令提示符（右鍵單擊，然后選擇“以管理員身份運行”）。然后切換到邏輯成像儀所在的驅動器。您只需鍵入“ tsk_logical_imager.exe”即可使用默認配置運行。

如果您的配置文件未命名為“ logical-imager-config.json”（例如，如果針對不同情況有多個配置文件），則需要使用“ -c”標志指定文件名。

如果要指定要運行的驅動器，則可以使用“ -i”標志。這對于測試配置文件可能會有所幫助-您可以創建一個小型USB驅動器，其文件應符合您的規則，以確保在實際系統上使用該文件之前一切正常。以下示例顯示了如何僅在此系統上的“ G”驅動器上運行：

查看結果

輸出文件夾結構

如果邏輯成像儀以默認模式運行（未創建VHD），則輸出文件夾將類似于以下內容：

文件夾內容：

包含所有解壓縮文件的根文件夾。可以在Windows資源管理器中直接查看這些文件，但是由于名稱已更改并且目錄已變平，因此最好在“尸檢”中查看它們。
config.json是用于生成輸出的配置文件的副本
console.txt是寫入Windows控制臺的所有內容的副本
將結果添加到“尸檢”中時，將使用SearchResults.txt將導出的文件與其原始路徑和文件名以及它們匹配的規則進行匹配。該文件將作為報告添加到“驗尸”案例中。
users.txt包含有關系統中找到的用戶帳戶的信息。它還將作為報告添加到“驗尸”案例中。