图像（磁盘镜像）

在撰写2018年出版的《调查Windows系统》一书时，我使用了在互联网上找到的公开可用镜像文件。其中一些是作为技术示例发布的镜像，一些是由教授课程的老师发布的，还有一些来自CTF（夺旗赛）。如果你读过这本书就会知道，对于每个镜像，我都使用或创建了更“贴近现实”的场景，这些场景与我长达二十五年多的数字取证/事件响应工作经验（其中很大一部分是咨询工作）更加吻合。

在那段时间里，我在几家公司工作过，我们都设有“事件响应热线”，人们可以拨打该热线请求计算机事件响应…这是许多公司至今仍在做的事情。这些公司也经常有“受理表”，分析师会填写这些表格，记录来电者或客户提供的相关信息，其中通常包括调查目标。多年来，我下载其中一些镜像的网站已经消失，这很遗憾，但并非无法克服。本书的意图和价值不在于镜像本身，而在于过程。所使用的分析过程，即使是针对Windows XP系统镜像的那些，也可以被复制、发展和扩展到任何Windows操作系统。

布雷特·谢弗斯最近在LinkedIn上发帖，指出了他在DFIR.Training网站上整理的可供使用的镜像资源库。

在Stark4N6网站上，我们看到了另一个镜像资源库，名为“证据保管库”。这是凯文在LinkedIn上的帖子，其中包含对该站点的描述。

如果你对下载完整或部分镜像不感兴趣，我最近从一个文件格式的角度，研究了一个信息窃取恶意软件样本。幸运的是，原始发帖者提供了他们分析的样本哈希值，这使我能够找到一个可以下载该样本副本的网站。我并非恶意软件逆向工程专家，但我努力遵循杰西·科恩布鲁姆的榜样，“利用水牛的每一部分”，即为了威胁情报的目的，深入挖掘和利用文件格式的元数据。

发布者：H. Carvey

时间：上午8:23