Windows硬盤和內存鏡像取證

在Windows系統上，有winhex等神器，可以對本地硬盤和物理內存完成鏡像取證等工作，但如何對遠程的Windows系統的硬盤和物理內存數據進行集中的鏡像取證呢？除了在本地鏡像為文件外，本文將介紹一種方法，將更方便的完成遠程Windows硬盤和物理內存的數據鏡像取證。

準備工作

一臺被鏡像取證的電腦運行的Windows系統

一臺要被鏡像取證的電腦運行的Windows系統

兩臺電腦要能通過網絡通信，并且最好是有線千M網絡，因為被鏡像取證Windows系統的硬盤數據，是通過網絡傳輸到取證系統的虛擬磁盤上，所以網絡速度至關重要。

安裝軟件

在被鏡像取證的Windows系統上，下載RFSD并運行，RFSD是跨平臺的文件操作服務，通過該服務可實現讀取Windows硬盤數據。

RFSD主頁：http://ranfs.com/cn/?RFSD

在管理員權限的powershell執行如下命令

$rfsd_dir="c:rfsd";Invoke-Expression(New-Object Net.WebClient).DownloadString("http://ranfs.com/pub/rfsd/all/get.ps1")

安裝完成，rfsd作為服務會自動運行，如果安裝了360等安全軟件，請允許相關權限請求。

在沒有powershell的系統，下載下面的壓縮包

地址：http://ranfs.com/pub/rfsd/windows/rfsd-windows-x86.zip

下載解壓后，請用管理員權限運行install.bat，至此被鏡像取證系統上的準備工作完成。

---

在要鏡像取證的Windows系統上，安裝RFDK，RFDK是虛擬磁盤驅動器，可以把遠程硬盤虛擬為本地磁盤。

RFDK主頁：http://ranfs.com/cn/?RFDK

下載地址：http://ranfs.com/pub/rfdk/windows/rfdk.zip

下載到本地解壓，執行install.bat等待安裝完成，至此準備工作完成。

更多的幫助見安裝包里的：rfdk-cn.pdf

使用rfdk-gui掛載磁盤和物理內存

在Windows上運行rfdk-gui，新建客戶端連接如下圖：

假定RFSD運行的電腦Ip地址為192.168.63.130，點擊確定添加完成，這時主界面上會顯示當前電腦，擁有的相關存儲設備列表。

雙擊紅圈.PhysicalDrive0欄目，會彈出掛載磁盤配置對話框，默認只讀，確定后就完成了磁盤掛載。雙擊紅圈.PhysicalMemory欄目，完成物理內存掛載。

注意：讀取物理內存需要加載驅動，請允許RFSD加載驅動，否則可能會返回超時錯誤。請確保網絡正常，及RFSD正常運行，如果網絡斷了或RFSD異常關閉，虛擬磁盤將自動消失。

遇到不能解決的問題，請聯系：tech@ranfs.com, 或加QQ群：599829506。

總結

以上是生活随笔為你收集整理的windows没有磁盘_Windows硬盘和内存镜像取证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。