【取證分析】Linux硬碟映象獲取與還原(dd、AccessData FTK Imager)
阿新 • • 發佈:2018-12-12
1、硬碟映象獲取工具:dd
dd是Linux/UNIX 下的一個非常有用的命令,作用是用指定大小的塊拷貝一個檔案,並在拷貝的同時進行指定的轉換。
1.1 本地取資料
- 檢視磁碟及分割槽
# fdisk -l
- 獲取整個磁碟映象檔案
# dd if=需要拷貝的磁碟 of=/儲存目錄/映象檔案 (確保儲存目錄有足夠的空間)
1.2 遠端取硬碟資料·
克隆硬碟或分割槽的操作,不應在已經mount的的系統上進行,採取遠端取的辦法這樣可以避免破壞現場。
- NC遠端傳輸檔案
從受害機器A拷貝檔案到取證機器B。需要先在取證機器B上,用nc啟用監聽。
取證機器B上執行: nc -l 1234 > text.txt 受害機器A上執行: nc 192.168.10.11 1234 < text.txt
注:取證機器B監聽要先開啟,192.168.10.11是取證機器B的IP
- DD與NC結合傳輸硬碟資料
取證機器B上執行:
nc -l -p 4445 | dd of=/tmp/sda2.dd
受害機器A上執行傳輸,即可完成從受害機器A克隆sda硬碟到取證機器B的任務:
dd if=/dev/sda2 | nc 192.168.10.11 4445
可以用ls -lh命令,檢視傳輸過來的資料大小。
2、AccessData FTK Imager掛載硬碟資料
Image Mounting掛載dd備份出來的硬碟資料。
3、參考
dd使用方法詳解