免拆機鏡像工具WinFE介紹
https://www.winfe.net
一、簡介
WinFE (Windows Forensic Environment), 也稱為Windows FE,最早由微軟高級取證技術專家Troy Larson開發。最早的版本只是簡單的將兩個注冊表項添加到Windows Vista預安裝環境2.0 (WinPE 2.0)。這些鍵可以防止啟動時自動掛載卷,并支持創建基于Microsoft Windows的取證引導CD/DVD或USB設備。
最初的WinFE寫保護工具是在2012年用x86匯編語言(32位)編寫的,因此不支持WinFE 64位程序。2018年,代碼從x86匯編語言移植到c++,允許生成32位和64位的二進制文件。c++允許應用程序在x86, x64和ARM架構中構建。因此,WinFE現在可以在UEFI和傳統系統上加載,而無需更改BIOS設置。像微軟Surface Pro這樣的設備也可以做鏡像。同時支持BitLocker解鎖密鑰。
該版本還包括Windows密碼刪除工具。允許從Windows 2000到Windows 10刪除Microsoft Windows登錄密碼,也包括服務器版本。支持本地和微軟在線帳戶的密碼。
下載地址:https://www.winfe.net/download
二、構建WinFE
第 1 階段(Intel)
進行生成的計算機應為 Windows 10 Pro x64,其內部版本至少為 1803。您還需要“以管理員身份運行”的權限。
下載并安裝 7-Zip 文件存檔器 (https://www.7-zip.org/)。
從下載頁面獲取intel x86/x64 框架軟件包
將框架包復制到卷的根目錄(例如 F:\)并解壓。 卷標字母 F:\可相應地更改為您自己的卷字母。
如果希望自定義 WinFE 的桌面背景,請利用此機會將您組織的徽標(必須命名為“wallpaper.jpg”)復制到以下位置 - “F:\IntelWinFE\x86” 和 “F:\IntelWinFE\x64”。
第 2 階段(Intel)
訪問https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install 并下載 Windows 10 ADK 版本 1803 的安裝程序文件。(直接鏈接:https://go.microsoft.com/fwlink/?linkid=873065)。
它可能適用于其他Windows 10版本的ADK,但是,測試是使用1803進行的,使用任何其他版本都可能產生意外的結果。
通過接受所有默認選項和默認安裝路徑來安裝 Windows 10 ADK 版本 1803。(這可能需要一些時間,具體取決于您的互聯網速度,需要幾G字節的磁盤空間)。
第 3 階段(Intel)
從AccessData下載并安裝FTK Imager 3.4.0.1(這是32位)(https://accessdata.com/product-download#past-versions)。
將 FTK IMAGER安裝到默認位置,如果已安裝 FTK IMAGER,則需要先卸載,然后才能繼續。
導航到“C:\Program Files(x86)\AccessData”并“復制”整個“FTK Imager”文件夾。現在,您應該導航到提取 x86/x64 框架的位置。
將以前復制的“FTK IMAGER”文件夾粘貼到“F:\IntelWinFE\USB\x86-x64\tools\x86”中。請記住,這必須是 32 位版本的 FTK IMAGER。
復制后,使用“控制面板”卸載此 32 位版本的“FTK IMAGER”。
從AccessData下載并安裝FTK Imager 4.2.0(這是64位)(https://accessdata.com/product-download#past-versions)。
將 FTK IMAGER安裝到默認位置,如果已安裝 FTK IMAGER,則需要先卸載,然后才能繼續。
導航到“C:\Program Files\AccessData”并“復制”整個“FTK Imager”文件夾。現在,您應該導航到提取 x86/x64 框架的位置。
將以前復制的“FTK IMAGER”文件夾粘貼到“F:\IntelWinFE\USB\x86-x64\tools\x64”中。請記住,這必須是 64 位版本的 FTK imager。
復制后,使用“控制面板”卸載此 64 位版本的“FTK imager”。
第 4 階段(Intel)
從“開始菜單”按鈕旁邊的“搜索欄”中,鍵入cmd.exe,然后使用管理權限打開。
在控制臺中,鍵入“F:”(或您的卷號是什么)并按 Enter 鍵,然后使用 CD 命令導航到“IntelWinFE”文件夾。
現在,您可以通過鍵入“MakeWinFEx64-x86.bat”并按回車鍵來構建WinFE平臺。
生成過程將自動從 ADK 安裝中提取所需的文件,并創建生成可啟動 WinFE 媒體所需的結構。
此過程可能需要幾分鐘時間。
如果要生成 CD/DVD ISO 文件,請將 cmd.exe 窗口保持打開狀態。
第 5 階段(Intel)
此步驟是可選的,除非您希望生成 WinFE CD/DVD 可啟動 ISO 文件。
如果上一階段開始將 cmd.exe 窗口保持打開狀態,則只需鍵入“Makex64-x86-CD.bat”并按 Enter 即可生成可啟動的 WinFE ISO 文件。
可啟動的 WinFE ISO 文件將自動在 ISO 文件夾中創建。
第 6 階段(Intel)
此步驟是可選的,除非您希望生成可啟動的 USB 閃存驅動器 (UFD)。
UFD 不應大于 32 GB(這是 Microsoft 施加的 FAT32 大小限制)。
首先,打開提升的命令行界面 shell,鍵入 diskpart,然后按 Enter 鍵。
現在將看到一個 Diskpart 提示,如下所示:
DISKPART>
Type: List Disk
Type: Select Disk X (X being your USB Flash Drive)
Type: Clean
Type: Create Partition Primary
Type: Format FS=FAT32 Quick
Type: Active
Type: Assign
Type: Exit
將命令行界面保持打開狀態,因為您很快就會再次需要它。
導航到“F:\IntelWinFE\USB\x86-x64\”。
此位置中應該有一堆文件和文件夾(啟動,efi,源...)。
將所有這些文件和文件夾復制到新準備的 UFD 的根目錄中。
返回到命令行界面,并鍵入以下內容,確保不要將尾隨的“\”作為 USB 閃存驅動器號的一部分:
bootsect.exe /nt60: /force /mbr
安全彈出 USB 閃存驅動器,它現在已準備就緒,可供使用。
第 7 階段(Intel)
此步驟是可選的,可生成可啟動的 USB 硬盤驅動器。
首先,打開cmd命令行界面 shell,鍵入 diskpart,然后按 Enter 鍵。
您現在將看到一個 Diskpart 提示,如下所示:
DISKPART>
Type: List Disk
Type: Select Disk X (X being your USB Hard Disk Drive)
Type: Clean
Type: Create Partition Primary Size = 8000
Type: Format FS=FAT32 Quick
Type: Active
Type: Assign
Type: Create Partition Primary
Type: Format FS=NTFS Quick
Type: Assign
Type: Exit
Type: Exit
在命令行界面導航到“F:\IntelWinFE\USB\x86-x64\”。
此位置中應該有一堆文件和文件夾(啟動,efi,源...)。
將所有這些文件和文件夾復制到新準備的 FAT32 卷的根目錄中。
返回到命令行界面,然后鍵入以下內容,確保不要將尾隨的“\”作為硬盤驅動器號的一部分:
bootsect.exe /nt60: /force /mbr
安全彈出硬盤驅動器,它現在已準備就緒,可供使用。此方法將允許您對與 WinFE(不同分區)相同的設備進行取證采集。
三、使用
通過前述步驟制作好WinFE介質后,設置好系統啟動順序從USB設備啟動。WinFE啟動后,顯示語言選擇界面。
選擇完成后,將看到警告信息。提示可能會有一些工具可改變只讀狀態。
WinFE將顯示可以枚舉的磁盤,以及這些磁盤的當前狀態。理想情況下,所有磁盤都應該處于只讀和未掛載狀態。
把可引導的WinFE USB HDD/閃存驅動器的狀態改為掛載和讀寫。然后點擊Continue允許WinFE加載,當加載時,位于屏幕頂部的菜單中有多個工具和應用程序可用。
如果不顯示磁盤,或者顯示的磁盤數量不正確,可能有以下幾種原因。1. 硬盤驅動器或RAID控制器需要驅動。2. 沒有其他硬盤驅動器或沒有連接。3.電腦里的硬盤驅動器可能壞了。
Disk Tools
寫保護工具可以從磁盤工具菜單中訪問,允許您更改硬盤驅動器的狀態。在這個菜單選項中有一個基本的磁盤映像工具,在Intel x86或x64版本上不需要使用這個工具,它是為ARM版本設計的。這是目前唯一可行的對ARM計算機或服務器進行法醫成像的選擇。
Password Tools
Windows密碼工具已經被整合到所有的構建中(ARM/x86/x64)。此工具需要安裝操作系統所在的卷并將其置于讀寫模式,顯然這在取證方面是不可靠的,然而,在某些情況下,您可能需要使用克隆的硬盤驅動器訪問嫌疑人的計算機或引導系統。
標準的重置工具允許從Windows NT刪除Windows本地帳戶登錄密碼,直到最新版本的Windows 10/Server。需要指出的是,該工具也支持較新的Microsoft在線帳戶。任何被刪除的密碼,隨后可以通過再次運行此工具并檢查之前刪除的復選框來恢復。
高級重置工具允許從加入Active Directory域的計算機中刪除密碼。如果使用該工具,請確保密碼被刪除后,目標計算機沒有連接到域網絡。同樣,密碼可以通過再次運行該工具來恢復,但是,由于緩存的憑據很可能已被銷毀,計算機將來可能會被阻止針對域進行身份驗證。此功能是付費功能。
Other Tools
命令提示符-標準的Windows命令行接口。
配置網絡-可配置網絡信息。
文件資源管理器-已包括Explorer++,因為Windows資源管理器在WinPE中不可用。
Install Driver安裝驅動程序-將允許您為缺少的硬件安裝驅動程序,.inf文件以及任何依賴項都是需要的。
Notepad這是標準的微軟Windows記事本應用程序。這是標準的微軟Windows注冊表編輯器應用程序。
Registry Editor - 標準的微軟Windows注冊表編輯器應用程序。
總結:本工具應用于免拆機全盤鏡像場景,寫保護功能能很好的保證鏡像的完整性,支持多種架構。缺點:制作過程較為麻煩,不支持中文,工具功能比較簡單,只能進行全盤鏡像無法更靈活的選擇鏡像源,密碼破解功能需要付費。不過用于教學實驗和了解原理還是不錯的。
