到达目的地后，赶紧开机联网，远程连接到现场的上位机（目标机器是断网状态）。启用解锁，软件提示失败，分析：

1、可能是遇到了那个不支持的小版本（后续的分析证实了这点）。

因为在异地，无法直接操作目标计算机，让工程师对所做的操作过程做了录像，分析了2次录像后，发现cmd调用失败其实是Bonne操作不熟练导致的。

“开天套件“在设计之初有考虑过远程支持的应用场景。分析现场环境，本次支持做如下安排：

1、使用开天直接提取目标计算机内存镜像

2、在线镜像目标计算机全盘镜像

3、考虑现场解锁失败，cmd也无法启用，选择使用内核代理，进程插入的方式异机调用。

在上位机直接调度目标计算机的模块，具体技术方案使用udp-up方案。远程登录上位机。

第三阶段： 元信息获取

1、 使用开天系统直接对目标计算机进行内存镜像。

2、异机调用目标计算机

3、异机启动第三方镜像工具对目标计算器磁盘制作本地磁盘镜像。

4、从目标计算机获得的数据文件（磁盘镜像、内存镜像）。

第四阶段：获得48位恢复key 

1、使用第三方工具获得R-KEY 

2、使用Elcomsoft 获得 R-KEY

4、使用win通用密钥获得 R-key，进入登录界面

5、进行中（过程略过）

6、输入完成后空密码登录系统

7、进入桌面

8、备份密钥

完成客户需求，后续分析取证由客户自己进行。开天系统已经升级支持到最新版的win系统版本支持。欢迎前来咨询开天系统。

产品咨询

技术工程师

贺   佳：13908073212

王高阳：18513400125

微信助手

●关于恶意代码的那些事（一）

●关于恶意代码的那些事（二）

●技术分享——MySQL取证

●技术分享——从网络发送EFS加密文件安全吗?