1、硬盘镜像获取工具:dd
dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。
1.1 本地取数据
- 查看磁盘及分区
# fdisk -l
- 获取整个磁盘镜像文件
# dd if=需要拷贝的磁盘 of=/存储目录/镜像文件 (确保存储目录有足够的空间)
1.2 远程取硬盘数据·
克隆硬盘或分区的操作,不应在已经mount的的系统上进行,采取远程取的办法这样可以避免破坏现场。
- NC远程传输文件
从受害机器A拷贝文件到取证机器B。需要先在取证机器B上,用nc激活监听。
取证机器B上运行: nc -l 1234 > text.txt
受害机器A上运行: nc 192.168.10.11 1234 < text.txt
注:取证机器B监听要先打开,192.168.10.11是取证机器B的IP
- DD与NC结合传输硬盘数据
取证机器B上运行:
nc -l -p 4445 | dd of=/tmp/sda2.dd
受害机器A上执行传输,即可完成从受害机器A克隆sda硬盘到取证机器B的任务:
dd if=/dev/sda2 | nc 192.168.10.11 4445
可以用ls -lh命令,查看传输过来的数据大小。
2、AccessData FTK Imager挂载硬盘数据
Image Mounting挂载dd备份出来的硬盘数据。
3、参考
dd使用方法详解