计算机动态取证与案情重现-杨乐.pptxVIP

;盘石软件;目录;目录;计算机仿真取证概述;什么是计算机仿真;仿真取证的必要性;仿真取证的实战作用;仿真取证的对象;仿真取证的流程;仿真取证的难点;仿真取证的“三不要”;SafeVM盘石计算机仿真取证系统介绍;目录;简介;安装 /卸载/升级;安装 /卸载/升级;安装 /卸载/升级;安装 /卸载/升级;安装 /卸载/升级;安装 /卸载/升级;盘石软件官方用户论坛;实验一：SafeVM安装与卸载;首次运行;案件管理;案件管理;虚拟机管理;虚拟机管理;虚拟机管理;虚拟机管理;虚拟机管理;虚拟机管理;实验二：案件与虚拟机管理;启动失败配置;启动失败配置;启动失败配置;实验三：启动失败配置;Windows用户信息操作;Windows用户信息操作;实验四：提取并清空SAM文件;清空Windows系统密码;实验五：清空Windows系统密码;利用光盘工具过开机密码;实验六：通过光盘工具过开机密码;虚拟机配置;实验七：虚拟机Vmware网络配置;Mac OS X仿真取证;Mac OS X仿真取证;帮助/关于;常见疑难问题;原因： 在vmware虚拟机中运行64位系统时，需要当前主机系统支持“虚拟化技术(Virtualization Technology)”，如果当前主机不支持“虚拟化技术”，或者在BIOS中没有打开相应的开关，就会造成虚拟机中的64位系统无法启动。 解决方法： 重启主机，进入主机的BIOS，在CPU选项中找到“Intel Virtualization Technology ”或者“Intel vt”，AMD的CPU是“AMD v”类似的选项，并且设置值为“enable”，然后保存，重启机器即可。;常见疑难问题;原因： 由于外接硬盘，当前的主机系统会自动把外接硬盘的分区挂载到主机系统中，这个时候如果有进程在读取外接硬盘的分区数据(可能是杀毒软件等)，或者主机系统中打开了外接硬盘的分区窗口，就会造成这种状况。 解决方法： 关掉所有打开外接硬盘所在分区的窗口，查看相关的杀毒软件，确保没有在对外接硬盘进行查毒等操作，然后重启虚拟机。;常见疑难问题;解决方法： 此时重新启动虚拟机，然后快速按下F2，进入虚拟机中的BIOS设置 修改Advanced选项卡中Large Disk Access Mode项目（仅在不能启动时修改） 如右图 → 然后保存并重新启动;