Virtual Forensic Computing 5(虚拟犯罪现场模拟软件)

　　Virtual Forensic Computing简称VFC，此工具是一款法医研究人员的原始虚拟化解决方案，根据用户的要求，新版本增加了非常多的功能模块，这些增强功能更快，VFC使调查人员能够在几秒钟内重新创建数字犯罪现场并与之交互，从而节省了关键时间；虚拟法证计算软件通常被认为是法医调查人员必不可少的工具，因为它可以使用原始证据无缝地再现数字犯罪现场，VFC与VMware的Workstation Player或Workstation Pro以及虚拟磁盘开发套件配合使用，可在虚拟环境中复制可疑对象的桌面，VMware是目前最可靠的虚拟化工具，可以使用户体验更加流畅，VFC使VMware可以执行其并非应做的事情，可以自动修复错误，从而为用户节省了复杂的问题解决时间，VMware固有的稳定性对此有所帮助；喜欢的用户可以下载体验

新版功能

　　1、VFC Mount：可帮助加快取证图像的安装过程，并消除与错误设置安装驱动器相关的任何问题。

　　2、带有LIVE ID Exploit的 通用密码重置（GPR）

　　此强大的新功能通过将专有VFC组件直接注入VM来工作，使您可以轻松重置Windows用户帐户密码或打开功能强大的系统级命令提示符。与传统的密码绕过（PWB）功能不同，还支持在线（“实时ID”）帐户。

　　3、从现有的取证软件启动VFC-命令行集成（CLI）

　　CLI支持与主要的取证分析工具集成（VFC随EnScript和XWF X-Tension插件一起提供，可从EnCase和X-Ways取证内启动VFC（进一步的取证软件集成）跟随））。

　　4、VFC继续与已安装的取证图像和写入阻止的物理驱动器一起使用

　　VFC5增强了对OS的支持，现在支持密码绕过的2,000多个离散Windows版本。通过在整个VFC流程中节省效率，它比以往任何时候都更轻，更快，功能更强大且集成度更高。

　　5、VFC使强大的视觉证据的准备和呈现比以往更加轻松！

软件特色

　　1、VFC还可以利用（写入阻止的）“真实”物理磁盘或位平面磁盘映像，通常称为RAW或DD映像。

　　如果不使用写块设备，原始磁盘可能（也可能会）被更改，从而影响原始数据的完整性。直接访问DD映像时也是如此。

　　2、根据我们的经验，VMware至少是最可靠的虚拟化工具，它可以提供更流畅的用户体验。

　　VFC使VMware能够完成它无法完成的任务，自动修复错误以节省用户数小时的复杂问题解决时间。 VMware的固有稳定性有助于此。

　　3、VFC使用写入式物理驱动器，Unix式DD映像或装载的取证图像。

　　该软件询问目标驱动器以收集相关系统信息，以便它可以非常快速地构建VMware框架，以创建目标系统（展览）的取证副本作为虚拟机（VM）。

　　VFC通过遵循公认的法庭实践来实现这一点，同时并自动修复众多已知问题，以避免BSOD和驱动程序错误，并节省用户手动诊断和维修的时间。

　　4、由此产生的VFC虚拟机在VMware中启动，使用户能够在嫌疑人的桌面上导航，就好像他们已经真正开启了他们的机器一样。任何网络连接都默认禁用，以确保安全的环境。

　　5、VFC现在可以选择向现有的VFC虚拟机添加硬件，并且可以导出虚拟机的独立克隆以供进一步调查，而无需进一步捆绑法医工作站。

安装步骤

　　1、用户可以点击本网站提供的下载路径下载得到对应的程序安装包

　　2、只需要使用解压功能将压缩包打开，双击主程序即可进行安装，弹出程序安装界面

　　3、同意上述协议条款，然后继续安装应用程序，点击同意按钮即可

　　4、弹出以下界面，用户可以直接使用鼠标点击下一步按钮

　　5、桌面快捷键的创建可以根据用户的需要进行创建，也可以不创建

　　6、现在准备安装主程序，点击安装按钮开始安装

　　7、弹出应用程序安装进度条加载界面，只需要等待加载完成即可

　　8、根据提示点击安装，弹出程序安装完成界面，点击完成按钮即可

方法

　　1、程序安装完成后，先不要运行程序，打开安装包，然后将文件夹内的文件复制到粘贴板

　　2、然后打开程序安装路径，把复制的文件粘贴到对应的程序文件夹中替换源文件

　　3、完成以上操作步骤后，就可以双击应用程序将其打开，此时您就可以得到对应程序

使用说明

　　VFC（虚拟取证计算）是一种取证应用程序，旨在处理各种硬盘驱动器源（物理磁盘，逐位磁盘副本或取证图像文件），并成功将95％以上的此类映像转换为虚拟机-无需昂贵的物理硬件磁盘缓存或耗时的转换过程。

　　VFC旨在主要利用用户安装的取证全磁盘映像文件，然后将其作为可用的物理磁盘呈现给系统。

　　该安装的磁盘是只读的，不能直接修改。

　　VFC还可以利用（写阻止）“实际”物理磁盘或逐位“平面”磁盘映像，通常称为RAW或DD映像。

　　如果不使用写块设备，则可以（并且可能会）更改原始磁盘，从而损害了原始数据的完整性。直接访问DD映像时也是如此。

　　VFC询问选定的设备并计算磁盘的几何形状和分区信息。它使用这些计算来创建虚拟磁盘缓存，以便可以查询所需的分区，而不会更改基础数据。

　　选择映像源后，VFC将列出可用分区并将其显示在主系统对话框中。通常，标记为“可启动”的分区将是包含操作系统的分区。对于某些系统（例如Windows Vista及更高版本），可启动分区可能仅约为100MB，并且实际上不包含操作系统。在这些情况下，选择下一个可用分区，该分区通常会占用剩余的可用磁盘空间并包含操作系统。

　　选择所需的分区后，VFC的默认行为是通过查询注册表数据和系统文件来分析操作系统。这样收集的结果信息显示在主VFC屏幕上。

　　在此阶段，VFC拥有足够的信息，可用来创建所需的磁盘文件并注入所需的系统修复程序。可以在生成VFC VM之前手动更改“新虚拟机”和“新虚拟磁盘”的默认文件名。

　　生成VFC VM后，将启用启动工具，并且可以将计算机引导到虚拟环境中。尽管可能存在一些限制（特别是在屏幕分辨率和OEM硬件设备方面），但用户随后可以与虚拟化系统进行询问并与之交互，并尽可能接近原始系统。

　　如果需要登录密码但未知，则可以挂起计算机并使用VFC密码绕过例程。 （仅限Windows）如果有可用的系统还原点，则可以使用内置的Windows系统还原功能将VFC VM“倒带”到较早的日期。 这样，这将撤消已实现初始生成的必要更改，并且系统将无法从已还原的会话启动。

　　这是预期的行为。

　　只需关闭VFC VM的电源，然后利用Restore Point Forensics功能来重新注入必要的系统驱动程序，从而成功启动到所需的System Restore Point。