取证工具：winhex，FTK Imager，VMware-converter

挂载工具：Arsenal-Image-Mounter-v3.1.107

在windows平台中一般使用VMware-converter来进行取证，因为这种方式是在系统跑起来之后进行取镜像，而且取出来直接是vmware可以识别的格式，直接可以在分析时仿真起来，但是有时候由于任务限制，取证不允许在对方主机上安装任何软件，所以只能使用winhex，或者FTK，但是winhex在本人非盘对盘对拷试验时，无法挂载，所以更不谈仿真，所以后来使用ftk进行取镜像，但是这次专项出现翻车，取回来几十台主机，win10全部能仿真但是win7出现很多无法仿真的情况。下面就分别介绍取证与仿真

首先安装VMware-converter，(win10记得选择管理员权限打开软件，不然无权限读取硬件信息)第一步选择convert machine，转化系统

接着选择是本机还是远程，这里因为要取本地机，所以选择local machine

然后选择取证生成的镜像目标类型，因为分析使用vmware这里就选如图vmware，select vmware product是选择适配vmware的版本，最后一个选项select a location for the vitual machine选择是保存位置，这里就是我们的取证存储设备，比如移动硬盘或者nas。

然后一路next，直到finish，中间优先提示和选项都可以根据具体修，改不改也行，最后就如图

当完成时候就生成了vmware可以跑起来的镜像。格式是vmdk，仿真就直接可以用vmware打开。

因为取证任务中会出现，不允许在对方主机安装软件的拷贝方式，这里我们选去的是ftk Imager取镜像，然后使用Arsenal-Image-Mounter挂载镜像，vmware仿真

步骤如下：

打开FTK，选择创建镜像如图

然后默认物理磁盘

然后下图就是选择取哪块盘的镜像，一般都是一个个全部都取走

然后点击add，下面的红框第一个是验证是否取证正确，点不点都可以，如果时间紧可以不选

境界着是取目标镜像保存的类型，这里选dd

下一步是一些注释信息，可写可以不写，本人是习惯写个readme，保存镜像使用不同名字，然后再reademe标明清楚

境界着就是镜像保存目标的一些设置，image Destination Folder是目的地，image Filename是镜像保存的名字，如果多台机器多个硬盘就可以以IP+第几块盘以试区分，还有Image Fragment size是镜像分块的大小，本人习惯一个镜像一个文件，所以一般删去1500，这里什么都不选，最后点finish就可以静等生成镜像了，这里一般生成的是.001格式

挂载，这里使用Arsenal-Image-Mounter，进入软件选mount disk image，挂载镜像

选择之前保存的镜像，然后下一步就会跳出如下，选择第二个可以写的选项，弹出的选项选是就可

如果挂载成功就会再电脑装多个逻辑分区

生成之后就是有两个途径，使用Arsenal-Image-Mounter讲镜像保存为vmdk格式，这样vmware直接可以打开。步骤就是点击镜像然后选如下选项

选择vmdk格式，并且选择保存路径

之后就可以用vmware打开了。

-------------------------------------------------------------------------------------------------------

除了保存vmdk格式，也可以直接挂载后打开。步骤如下

首先降在线硬盘改为可读写

然后再wmware选择新建虚拟机，然后选择高级自定义

然后稍后安装操作系统

下一步系统这里选windows哪个版本都行，

然后下一步选择虚拟机保存位置联不连网等，这里自行选择，直到下面，这里好几种磁盘类型，根据本人尝试如果最后虚拟机加载不起来，可以每个都试试，但是一般都是sata就可以加载起来

下一步选使用物理磁盘，选择

这里就选刚挂载起来的镜像的系统盘，哪一个可以在Arsenal-Image-Mounter看到

比如这里就是第二个

然后一直往下finish，如果启动虚拟机提示已占用，需要脱机此磁盘

操作就是电脑右键管理，磁盘管理中，对着对应磁盘右键，选择脱机

再次尝试启动虚拟机一般就成了。

一般能用vmware-converter就使用这个工具，这个是在系统启动起来时候进行取证，如果不能用这个软件就用ftk，但是ftk不是powered-on取，本人在多次使用此软件取磁盘镜像发现取回来镜像win7在仿真起来时发现驱动有问题，蓝屏。

另外尝试过winhex，如果移动硬盘数量能满足跟取证目标设备一样多，可以使用dd盘对盘拷，如果硬盘不足，使用winhex非盘对盘按位拷保存镜像，出现取得镜像都无法挂载的情况。