我拆下了笔记本电脑的内置硬盘,当我尝试在较新的笔记本电脑上从它启动时,会发生 BSOD,但在原来的笔记本电脑上从它启动时一切正常。我想知道有哪些可能的方法可以从完全不同的机器的硬盘启动而不会出现 BSOD?是否有任何工具,例如虚拟机?
或者在取证人员试图获取 HDD 本身操作系统的完全访问权限/副本时,他们该如何做呢?
编辑:我打算在 Windows 或 Linux 上执行此操作。
答案1
这在很大程度上取决于您使用的 Windows 版本。Windows 7 和 8 都相当不错,但我发现 Windows 10 略胜一筹。
旧版本的 Windows 会有很大的差异。
如果您有旧电脑,最简单的选项是 sysprep,它内置于 Windows 中。
最好确保手头有一份 Windows 密钥的副本,以防万一。
在旧电脑上,启动系统:
首先确保 c:\windows\system32\sysprep 中没有 unattended.xml
来自和管理命令提示符:
c:\windows\system32\sysprep\sysprep /generalize /oobe /shutdown
当计算机关闭时,将硬盘放入新计算机并打开。
该过程将花费 30-45 分钟,但 Windows 应该会适应新的硬件。
作为预防措施,我强烈建议提前获取新计算机的存储控制器驱动程序(IDE/SATA)。提取它们以便 .INF 文件可见。然后预注入它。
pnputil /add-driver x:\driver.inf
其余一切都需要您事后安装新的驱动程序。
您还可以通过设备管理器强制将存储控制器驱动程序降级为“标准 IDE”模式。
这更像是一种黑客行为,但我已经让它工作过多次了。
在安装所有新驱动程序之前,不要期望有太多的工作。