从虚拟机处理文件权限-法医逻辑获取

Question

目前，我正在对一个被黑客入侵的虚拟机(VMware)进行尸检分析。我已经安装了VM，并且我正在从VMware获取证据到我的物理机器(Windows 10)。

我试图做一个逻辑文件获取某些文件和文件夹；

• Windows事件查看器日志(应用程序、系统、安全) OpenSSH日志
• 注册表项
• NTUSER.DAT
• system32 32/config/SAM

但是，Windows已经安装的文件权限使我很难获得这些权限。我不想做完整的身体检查，因为我只想要一些艺术品。

如有任何建议，将不胜感激。

Answer 1

首先也是最重要的是，您已经通过安装VM而搞砸了，这将作为安装的一个附带影响写入VM。希望这是一份副本？

其次，获取逻辑副本总是一个错误，如果您不必因为阻止物理副本的约束而这样做的话。

你所有的问题都会随着身体的获得而消失。即使它是一个VM，您仍然可以进行物理获取，而且非常简单：

1.运行验尸

2.将VM .vmdk作为收购目标.

完成了！

如果您仍然决定执行所选的逻辑获取，那么通过Linux提取目标文件是最容易的。