您的位置：SD124 > 工具软件 > MD5 Virtual Forensic Computing(虚拟取证计算软件）5.1.1.4576含安装学习教程

MD5 Virtual Forensic Computing(虚拟取证计算软件）5.1.1.4576含安装学习教程

软件大小：未知
更新日期：2020-05-13
官方网站：闪电下载吧
软件等级：★★★☆☆
运行环境：Winxp/Win7/Win8/Win10

软件说明
软件截图
下载地址
相关软件
用户评论

Virtual Forensic Computing简称VFC是一款功能强大的法医调查人员最初的虚拟化解决方案。虚拟法证计算软件通常被认为是法医调查员的必备工具，因为它允许使用原始证据无缝娱乐数字犯罪现场。VFC与VMware的Workstation Player或Workstation Pro以及虚拟磁盘开发工具包（VDDK）配合使用，可在虚拟环境中复制嫌疑人的桌面。旨在处理各种硬盘驱动器资源（物理磁盘，逐位磁盘复制或取证图像文件），并成功将95％以上的此类映像转移到虚拟机中 - 无需昂贵的物理硬盘磁盘缓存或耗时的转换过程。VFC旨在主要利用用户装入的取证全盘磁盘映像文件，然后将其作为可用物理磁盘提供给系统。本次小编带来的是VFC4破解版，含破解文件和详细的安装破解图文教程，需要的朋友不要错过了！

安装破解教程

1、在本站下载并解压，如图所示，获得VFC4-Setup-4.17.8.25.exe安装程序和AMPED破解文件夹

2、双击VFC4-Setup-4.17.8.25.exe运行，进入软件安装向导，点击next

3、勾选我接受协议，点击next

4、创建桌面图标和快速启动图标，点击next

5、点击install安装

6、如图所示，软件安装中，速度非常快，大家稍等片刻

7、软件安装完成，去勾选立即运行软件，点击finish退出安装向导

8、将破解文件夹中的VFC4.exe复制到软件安装目录中，具体路径如图所示，点击替换目标中的文件

9、破解完成，运行软件即可

软件功能

此挂载的磁盘是只读的，不能直接修改。
VFC还可以利用（写入阻止的）“真实”物理磁盘或位平面磁盘映像，通常称为RAW或DD映像。
如果不使用写块设备，原始磁盘可能（也可能会）被更改，从而影响原始数据的完整性。直接访问DD映像时也是如此。

根据我们的经验，VMware至少是最可靠的虚拟化工具，它可以提供更流畅的用户体验。 VFC使VMware能够完成它无法完成的任务，自动修复错误以节省用户数小时的复杂问题解决时间。 VMware的固有稳定性有助于此。

对于执法，由于VMware的Workstation Player免费供非商业用途，因此不需要进一步购买。来自AccessData的FTK Imager可以免费下载，并且可以作为一种非废话的安装工具使用，但是调查人员并不依赖于特定的安装程序。

VFC使用写入式物理驱动器，Unix式DD映像或装载的取证图像。该软件询问目标驱动器以收集相关系统信息，以便它可以非常快速地构建VMware框架，以创建目标系统（展览）的取证副本作为虚拟机（VM）。 VFC通过遵循公认的法庭实践来实现这一点，同时并自动修复众多已知问题，以避免BSOD和驱动程序错误，并节省用户手动诊断和维修的时间。

由此产生的VFC虚拟机在VMware中启动，使用户能够在嫌疑人的桌面上导航，就好像他们已经真正开启了他们的机器一样。任何网络连接都默认禁用，以确保安全的环境。

VFC现在可以选择向现有的VFC虚拟机添加硬件（例如，重建具有多个驱动器的塔式系统），并且可以导出虚拟机的独立克隆以供进一步调查，而无需进一步捆绑法医工作站。

使用方法

VFC：步骤分步
装载取证整盘磁盘映像，有几种方法可以安装取证整盘磁盘映像;作者首选的安装工具是FTK Imager，其中第一个图像文件（* .E01）仅作为物理安装，FTK将分配下一个可用驱动器
etter.If从Windows 7或更高版本挂载磁盘映像时使用mount方法应该是“阻止设备/可写入”。

一旦图像成功安装，安装应用程序即可最小化，因为不需要进一步的直接交互。
NB如果使用Encase PDE或FTK Imager安装功能，请关闭任一个，这些应用程序将导致图像下载。MIP GUI可以关闭，但会尽量减少系统托盘的应用，同时维护图像的安装状态。

从上面可以看出，Windows 8 Consumer Preview x64.E01映像已经作为PHYSICALDRIVE3装载，现在可供系统使用。此窗口现在可以关闭。
从这一点来看，FTK Imager GUI不再是VFC直接需要的，可以最小化
选择源设备 - 安装的硬盘

启动VFC并使用位于屏幕左上角的硬盘图标启动驱动器选择对话框。
此过程将枚举连接到系统的所有物理存储设备。

枚举完成后，挂载的驱动器将显示在驱动器选择对话框中，选择该驱动器。
如果未显示安装的驱动器，则VFC无法确定磁盘上是否存在活动（可引导）的分区。这对于仅用于数据存储的磁盘（如外部硬盘或辅助存储设备）或磁盘不具有标准MBR的磁盘（如Mac OS X GUID分区系统）最为常见。
很少，您可能需要重新启动主机，并在VFC正确检测到驱动器之前重新装入驱动器。当大量磁盘映像已经安装/卸载并且已生成多台机器时，可能会发生这种情况。
要显示不可启动的驱动器，只需选择位于驱动器选择对话框右上角的“显示非驱动器驱动器”。

默认情况下，VFC使用基于读取MBR计算CHS值，然后计算Cylinders = LBA / Heads / Sectors的方法。 MIP3和MIP4使用另一种计算方法，这可能会导致产生的CHS的一组不同的值。可以通过取消选中'使用MIP磁盘的MBR几何体'来利用MIP计算。
尽管MIP可以正确安装磁盘，并且可以通过Windows资源管理器访问逻辑驱动器，但已经注意到默认的MIP计算可能会导致后续的VFC生成的虚拟机无法启动。使用MBR方法，同一台机器将成功启动。

查看部门
'View Sectors'选项使用户能够以只读的十六进制格式快速检查磁盘内容。有多种选项可以快速导航到磁盘的第一个扇区，任何已识别分区的第一个扇区或磁盘上的任何选定扇区。

选择分区
一旦选择了所需物理驱动器，可用分区（以及容量，文件系统和状态）将显示在主对话框屏幕上。

您现在需要选择适当的'引导'分区。引导分区并不总是标记为'（Active）'的分区，但应该注意，在Windows Vista及更高版本的系统上，引导分区实际上可能是列出的第二个卷。对于多引导系统也是如此，其中需要VFC的操作系统位于与驱动器的引导代码不同的分区上。
如果选中“自动分析分区”复选框，则选择任何可用分区将导致尝试自动检测安装的Windows操作系统版本。此分析还将尝试从注册表和系统文件中提取与已安装的Windows操作系统版本相关的信息，然后将显示在主对话框的左下角部分。如果未找到操作系统，则会显示以下消息，要求您选择其他分区。

如果需要，可以禁用“自动分析分区”功能，并且可以手动选择操作系统版本。
通过禁用“自动分析分区”，这将阻止提取任何上述系统信息。
如果需要，还可以根据需要更改影响虚拟机生成的各种选项（请参阅下面的选项）。

分析完成后，您可以选择更改虚拟机名称（默认的“新虚拟机”）和虚拟磁盘名称（默认的“新虚拟磁盘”）。通常应调整这些值以反映正在调查的法医图像的细节（例如Coakley-PC，HDD0）。
当输入和分析完所有相关数据后，'生成VFC虚拟机'按钮将变为活动状态，并且可以创建必要的文件以及应用任何必要的系统补丁。

成功的一代将导致创建必要的文件，以便在VMware虚拟环境中启动主题挂载的磁盘映像。这可以通过使用位于主对话屏幕右下角的'启动'按钮来实现。

或者，可以手动启动计算机，通常通过双击Windows资源管理器生成的.vmx文件，或启动VMware应用程序并使用各种选项打开虚拟机。

一旦手动打开虚拟机，就需要“启动”虚拟机

在启动过程中，VMware会显示选项以访问设置（F2），网络启动（F12）或启动菜单（Esc）。
默认情况下，VFC不添加任何网络连接。
默认的启动顺序是软盘，硬盘，然后是CD-ROM。通常，在用户希望从CD或附加的ISO映像引导的情况下，需要访问引导菜单。
为了通过可用的启动密钥访问任何启动选项，首先需要关注VMware应用程序。一旦启动虚拟机，将鼠标移动到VMware启动屏幕内的某个点，然后左键单击，直到鼠标光标消失。此时，将启用对虚拟键盘的访问，并按下“Esc”键将显示引导菜单。
VFC将启动延迟设置为3秒（3000毫秒），以便更容易地访问启动菜单。通过编辑生成的.vmx文件并调整'bios.bootDelay'的值，可以手动增加此值。要允许延迟10秒，请将此值设置为“10000”。