免拆机镜像工具WinFE介绍
https://www.winfe.net
一、简介
WinFE (Windows Forensic Environment), 也称为Windows FE,最早由微软高级取证技术专家Troy Larson开发。最早的版本只是简单的将两个注册表项添加到Windows Vista预安装环境2.0 (WinPE 2.0)。这些键可以防止启动时自动挂载卷,并支持创建基于Microsoft Windows的取证引导CD/DVD或USB设备。
最初的WinFE写保护工具是在2012年用x86汇编语言(32位)编写的,因此不支持WinFE 64位程序。2018年,代码从x86汇编语言移植到c++,允许生成32位和64位的二进制文件。c++允许应用程序在x86, x64和ARM架构中构建。因此,WinFE现在可以在UEFI和传统系统上加载,而无需更改BIOS设置。像微软Surface Pro这样的设备也可以做镜像。同时支持BitLocker解锁密钥。
该版本还包括Windows密码删除工具。允许从Windows 2000到Windows 10删除Microsoft Windows登录密码,也包括服务器版本。支持本地和微软在线帐户的密码。
下载地址:https://www.winfe.net/download
二、构建WinFE
第 1 阶段(Intel)
进行生成的计算机应为 Windows 10 Pro x64,其内部版本至少为 1803。您还需要“以管理员身份运行”的权限。
下载并安装 7-Zip 文件存档器 (https://www.7-zip.org/)。
从下载页面获取intel x86/x64 框架软件包
将框架包复制到卷的根目录(例如 F:\)并解压。 卷标字母 F:\可相应地更改为您自己的卷字母。
如果希望自定义 WinFE 的桌面背景,请利用此机会将您组织的徽标(必须命名为“wallpaper.jpg”)复制到以下位置 - “F:\IntelWinFE\x86” 和 “F:\IntelWinFE\x64”。
第 2 阶段(Intel)
访问https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install 并下载 Windows 10 ADK 版本 1803 的安装程序文件。(直接链接:https://go.microsoft.com/fwlink/?linkid=873065)。
它可能适用于其他Windows 10版本的ADK,但是,测试是使用1803进行的,使用任何其他版本都可能产生意外的结果。
通过接受所有默认选项和默认安装路径来安装 Windows 10 ADK 版本 1803。(这可能需要一些时间,具体取决于您的互联网速度,需要几G字节的磁盘空间)。
第 3 阶段(Intel)
从AccessData下载并安装FTK Imager 3.4.0.1(这是32位)(https://accessdata.com/product-download#past-versions)。
将 FTK IMAGER安装到默认位置,如果已安装 FTK IMAGER,则需要先卸载,然后才能继续。
导航到“C:\Program Files(x86)\AccessData”并“复制”整个“FTK Imager”文件夹。现在,您应该导航到提取 x86/x64 框架的位置。
将以前复制的“FTK IMAGER”文件夹粘贴到“F:\IntelWinFE\USB\x86-x64\tools\x86”中。请记住,这必须是 32 位版本的 FTK IMAGER。
复制后,使用“控制面板”卸载此 32 位版本的“FTK IMAGER”。
从AccessData下载并安装FTK Imager 4.2.0(这是64位)(https://accessdata.com/product-download#past-versions)。
将 FTK IMAGER安装到默认位置,如果已安装 FTK IMAGER,则需要先卸载,然后才能继续。
导航到“C:\Program Files\AccessData”并“复制”整个“FTK Imager”文件夹。现在,您应该导航到提取 x86/x64 框架的位置。
将以前复制的“FTK IMAGER”文件夹粘贴到“F:\IntelWinFE\USB\x86-x64\tools\x64”中。请记住,这必须是 64 位版本的 FTK imager。
复制后,使用“控制面板”卸载此 64 位版本的“FTK imager”。
第 4 阶段(Intel)
从“开始菜单”按钮旁边的“搜索栏”中,键入cmd.exe,然后使用管理权限打开。
在控制台中,键入“F:”(或您的卷号是什么)并按 Enter 键,然后使用 CD 命令导航到“IntelWinFE”文件夹。
现在,您可以通过键入“MakeWinFEx64-x86.bat”并按回车键来构建WinFE平台。
生成过程将自动从 ADK 安装中提取所需的文件,并创建生成可启动 WinFE 媒体所需的结构。
此过程可能需要几分钟时间。
如果要生成 CD/DVD ISO 文件,请将 cmd.exe 窗口保持打开状态。
第 5 阶段(Intel)
此步骤是可选的,除非您希望生成 WinFE CD/DVD 可启动 ISO 文件。
如果上一阶段开始将 cmd.exe 窗口保持打开状态,则只需键入“Makex64-x86-CD.bat”并按 Enter 即可生成可启动的 WinFE ISO 文件。
可启动的 WinFE ISO 文件将自动在 ISO 文件夹中创建。
第 6 阶段(Intel)
此步骤是可选的,除非您希望生成可启动的 USB 闪存驱动器 (UFD)。
UFD 不应大于 32 GB(这是 Microsoft 施加的 FAT32 大小限制)。
首先,打开提升的命令行界面 shell,键入 diskpart,然后按 Enter 键。
现在将看到一个 Diskpart 提示,如下所示:
DISKPART>
Type: List Disk
Type: Select Disk X (X being your USB Flash Drive)
Type: Clean
Type: Create Partition Primary
Type: Format FS=FAT32 Quick
Type: Active
Type: Assign
Type: Exit
将命令行界面保持打开状态,因为您很快就会再次需要它。
导航到“F:\IntelWinFE\USB\x86-x64\”。
此位置中应该有一堆文件和文件夹(启动,efi,源...)。
将所有这些文件和文件夹复制到新准备的 UFD 的根目录中。
返回到命令行界面,并键入以下内容,确保不要将尾随的“\”作为 USB 闪存驱动器号的一部分:
bootsect.exe /nt60: /force /mbr
安全弹出 USB 闪存驱动器,它现在已准备就绪,可供使用。
第 7 阶段(Intel)
此步骤是可选的,可生成可启动的 USB 硬盘驱动器。
首先,打开cmd命令行界面 shell,键入 diskpart,然后按 Enter 键。
您现在将看到一个 Diskpart 提示,如下所示:
DISKPART>
Type: List Disk
Type: Select Disk X (X being your USB Hard Disk Drive)
Type: Clean
Type: Create Partition Primary Size = 8000
Type: Format FS=FAT32 Quick
Type: Active
Type: Assign
Type: Create Partition Primary
Type: Format FS=NTFS Quick
Type: Assign
Type: Exit
Type: Exit
在命令行界面导航到“F:\IntelWinFE\USB\x86-x64\”。
此位置中应该有一堆文件和文件夹(启动,efi,源...)。
将所有这些文件和文件夹复制到新准备的 FAT32 卷的根目录中。
返回到命令行界面,然后键入以下内容,确保不要将尾随的“\”作为硬盘驱动器号的一部分:
bootsect.exe /nt60: /force /mbr
安全弹出硬盘驱动器,它现在已准备就绪,可供使用。此方法将允许您对与 WinFE(不同分区)相同的设备进行取证采集。
三、使用
通过前述步骤制作好WinFE介质后,设置好系统启动顺序从USB设备启动。WinFE启动后,显示语言选择界面。
选择完成后,将看到警告信息。提示可能会有一些工具可改变只读状态。
WinFE将显示可以枚举的磁盘,以及这些磁盘的当前状态。理想情况下,所有磁盘都应该处于只读和未挂载状态。
把可引导的WinFE USB HDD/闪存驱动器的状态改为挂载和读写。然后点击Continue允许WinFE加载,当加载时,位于屏幕顶部的菜单中有多个工具和应用程序可用。
如果不显示磁盘,或者显示的磁盘数量不正确,可能有以下几种原因。1. 硬盘驱动器或RAID控制器需要驱动。2. 没有其他硬盘驱动器或没有连接。3.电脑里的硬盘驱动器可能坏了。
Disk Tools
写保护工具可以从磁盘工具菜单中访问,允许您更改硬盘驱动器的状态。在这个菜单选项中有一个基本的磁盘映像工具,在Intel x86或x64版本上不需要使用这个工具,它是为ARM版本设计的。这是目前唯一可行的对ARM计算机或服务器进行法医成像的选择。
Password Tools
Windows密码工具已经被整合到所有的构建中(ARM/x86/x64)。此工具需要安装操作系统所在的卷并将其置于读写模式,显然这在取证方面是不可靠的,然而,在某些情况下,您可能需要使用克隆的硬盘驱动器访问嫌疑人的计算机或引导系统。
标准的重置工具允许从Windows NT删除Windows本地帐户登录密码,直到最新版本的Windows 10/Server。需要指出的是,该工具也支持较新的Microsoft在线帐户。任何被删除的密码,随后可以通过再次运行此工具并检查之前删除的复选框来恢复。
高级重置工具允许从加入Active Directory域的计算机中删除密码。如果使用该工具,请确保密码被删除后,目标计算机没有连接到域网络。同样,密码可以通过再次运行该工具来恢复,但是,由于缓存的凭据很可能已被销毁,计算机将来可能会被阻止针对域进行身份验证。此功能是付费功能。
Other Tools
命令提示符-标准的Windows命令行接口。
配置网络-可配置网络信息。
文件资源管理器-已包括Explorer++,因为Windows资源管理器在WinPE中不可用。
Install Driver安装驱动程序-将允许您为缺少的硬件安装驱动程序,.inf文件以及任何依赖项都是需要的。
Notepad这是标准的微软Windows记事本应用程序。这是标准的微软Windows注册表编辑器应用程序。
Registry Editor - 标准的微软Windows注册表编辑器应用程序。
总结:本工具应用于免拆机全盘镜像场景,写保护功能能很好的保证镜像的完整性,支持多种架构。缺点:制作过程较为麻烦,不支持中文,工具功能比较简单,只能进行全盘镜像无法更灵活的选择镜像源,密码破解功能需要付费。不过用于教学实验和了解原理还是不错的。
