2. 程式人生 > >【取證分析】Linux硬碟映象獲取與還原(dd、AccessData FTK Imager)

【取證分析】Linux硬碟映象獲取與還原(dd、AccessData FTK Imager)

阿新 發佈:2018-12-12

1、硬碟映象獲取工具:dd

dd是Linux/UNIX 下的一個非常有用的命令,作用是用指定大小的塊拷貝一個檔案,並在拷貝的同時進行指定的轉換。

1.1 本地取資料

  • 檢視磁碟及分割槽
# fdisk -l
  • 獲取整個磁碟映象檔案
# dd if=需要拷貝的磁碟 of=/儲存目錄/映象檔案 (確保儲存目錄有足夠的空間)

1.2 遠端取硬碟資料·

克隆硬碟或分割槽的操作,不應在已經mount的的系統上進行,採取遠端取的辦法這樣可以避免破壞現場。

  • NC遠端傳輸檔案

從受害機器A拷貝檔案到取證機器B。需要先在取證機器B上,用nc啟用監聽。

取證機器B上執行: nc -l 1234 > text.txt

受害機器A上執行: nc 192.168.10.11 1234 < text.txt

注:取證機器B監聽要先開啟,192.168.10.11是取證機器B的IP

  • DD與NC結合傳輸硬碟資料

取證機器B上執行:

nc -l -p 4445 | dd of=/tmp/sda2.dd

受害機器A上執行傳輸,即可完成從受害機器A克隆sda硬碟到取證機器B的任務:

dd if=/dev/sda2 | nc 192.168.10.11 4445

可以用ls -lh命令,檢視傳輸過來的資料大小。

2、AccessData FTK Imager掛載硬碟資料

Image Mounting掛載dd備份出來的硬碟資料。

3、參考

dd使用方法詳解

相關推薦

取證分析Linux硬碟映象獲取還原ddAccessData FTK Imager

1、硬碟映象獲取工具:dd dd是Linux/UNIX 下的一個非常有用的命令,作用是用指定大小的塊拷貝一個檔案,並在拷貝的同時進行指定的轉換。 1.1 本地取資料 檢視磁碟及分割槽 # fdisk -l 獲取整個磁碟映象檔案 # dd if=需要拷貝的磁碟 of

取證分析Linux信息搜集

相關信息 查看系統 hist PC 系統用戶 啟動項順序 print 內核版本號 uname ## 1、取證工具 - LiME 內存獲取工具 - volatility 內存分析工具 ## 2、機器信息收集 #sysinfo 16 # # 查看當前登錄用戶 who

整合故障排查LINUX系統資源使用情況排查tophtoppspstree

 LINUX系統資源使用情況排查      工作中我們常見的資源使用情況的排查包括,CPU使用情況、 記憶體使用情況、網路頻寬使用情況等等。而我們常用的工具有top、htop、ps、pstree等等,htop--top加強版, pstree—ps加強版.

CodeForces - 288CPolo the Penguin and XOR operation 思維異或運算

Little penguin Polo likes permutations. But most of all he likes permutations of integers from 0 to n, inclusive. For permutation&n

取證分析linux命令xxd來獲取dump檔案資訊獲得flag

題目連結:https://blog.csdn.net/xiangshangbashaonian/article/details/82747394 拿到一道CTF題目  notepad++開啟如下所示 [email protected]:~/Desktop$ fi

取證分析Wannacry樣本取證特征清除

english version class ros cpu占用率 .exe crypt 重要 解析 一、取證特征 1)網絡域名特征 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 2)文件特征 母體文件 ms

取證分析The Art of Memory Forensics-Windows取證(Virut樣本取證)

文件 explorer 父進程 所有 ddr png 筆記 特定 sni 1、前言 The Art of Memory Forensics真是一本很棒的書籍,其中使用volatility對內存進行分析的描述可以輔助我們對更高級類的木馬進行分析和取證,這裏對書中的命令進行了筆

redislinux上的安裝配置詳細圖解

1、下載 http://redis.io/download 2、解壓至任一目錄 tar xzf redis-2.8.17.tar.gz 3、編譯並安裝 cd redis-2.8.1

演算法分析回溯法解八皇后問題n皇后問題

回溯法解題思路: (1)針對所給問題,定義問題的解空間;    (2)確定易於搜尋的解空間結構;    (3)以深度優先方式搜尋解空間,並在搜尋過程中用剪枝函式避免無效搜尋。 八皇后問題:

日常小記linux中強大且常用命令:findgrep

在linux下面工作,有些命令能夠大大提高效率。本文就向大家介紹find、grep命令,他哥倆可以算是必會的linux命令,我

51Nod - 1094和為k的連續區間 字首和,二分查詢

題幹: 一整數數列a1, a2, ... , an(有正有負),以及另一個整數k,求一個區間i,ji,j,(1 <= i <= j <= n),使得aii + ... + ajj = k。 Input 第1行:2個數N,K。N為數列的長度。K為需

深度學習深入理解優化器Optimizer演算法BGDSGDMBGDMomentumNAGAdagradAdadeltaRMSpropAdam

1.http://doc.okbase.net/guoyaohua/archive/284335.html 2.https://www.cnblogs.com/guoyaohua/p/8780548.html   原文地址(英文論文):https://www.cnblogs.c

c語言利用指標模式實現字串函式strlenstrcatstrstrstrcpystrcmpmemcpymemove

模擬實現strlen int my_strlen(const char *p) { assert(p != NULL); char *s = p; while (*p) { p++; } r

課程分享procast砂型鑄造詳解教程鑄鋼鑄鐵為例

本課程詳細以鑄鋼鑄鐵為例介紹了砂型鑄造各階段的操作教程。主要有十四個課時。講述了幾何模型的處理、網格劃分、鑄鋼鑄鐵引數設定、後處理結果分析、過濾網引數設定、材料資料庫的建立和一些常用的操作,具體看列表。練習模型已上傳附件。 技術鄰專家介紹 一杯敬明月 工藝工程師 擅

圖文教程手把手教你如何安裝ubuntuWindows基礎上雙系統

  準備工作:  1.一個格式化後 U盤  2.從官網下載下來ubuntu14.04.1的映象檔案  3.UltraISO最新版本  4.如果想要雙系統。準備一個安裝ubuntu的空盤。大小自己定吧,按自己的需求來。我一般分50G就夠了。安裝過程:開啟後最開始是這樣的然後選擇

神經網路卷積層輸出大小計算深度

先定義幾個引數 輸入圖片大小 W×W Filter大小 F×F 步長 S padding的畫素數 P 於是我們可以得出 N = (W − F + 2P )/S+1 輸出圖片大小為 N×N 轉載: 卷積中的特徵圖大小計算方式有兩種,分別是‘VALID’和‘SAM

Unity問題如果OrderInLayer無法使用程式碼改變如何用程式碼改變OrderInLayer

如果OrderInLayer無法使用程式碼改變,應該怎麼辦 通過預製體就可以達到 1.新建預製體物體 通過新建空物體GameObject --- Create Empty 新增相應的元件UGUI或者Sprite的是Sprite Renderer 只有UGUI的精靈物體

計算機視覺影象處理幾何變換之仿射變換平移縮放旋轉

1.概念詞語1)影象的幾何變換    對影象進行放大、縮小、旋轉等操作,會改變原圖中各區域的空間關係,這類操作就是影象的幾何變換。2)仿射變換    對原來的x和y座標分別進行線性的幾何變換,得到新的x和y,這種變換就是放射變換。3)投影變換4)極座標變換5)齊次座標   

Linux下的檔案操作命令檔案顯示命令

1.cat命令 cat用來顯示檔案的內容。 1)一般格式 cat 【選項】 檔案 2)說明 一是顯示檔案內容;二是連線兩個或者多個檔案。 3)常用選項 -b 從1開始對所有非空輸出編號

幹貨Linux內存數據的獲取轉存 直搗密碼

數據結構 就是 工具 ima mem 註意 錯誤 所有 密碼 知識源:Unit 2: Linux/Unix Acquisition 2.1 Linux/Unix Acquistion Memory Acquisition 中的實驗demo部分 小白註意,這是網絡安全RIT