1、硬盤鏡像獲取工具:dd
dd是Linux/UNIX 下的一個非常有用的命令,作用是用指定大小的塊拷貝一個文件,並在拷貝的同時進行指定的轉換。
1.1 本地取數據
- 查看磁盤及分區
# fdisk -l
- 獲取整個磁盤鏡像文件
# dd if=需要拷貝的磁盤 of=/存儲目錄/鏡像文件 (確保存儲目錄有足夠的空間)
1.2 遠程取硬盤數據·
克隆硬盤或分區的操作,不應在已經mount的的系統上進行,采取遠程取的辦法這樣可以避免破壞現場。
- NC遠程傳輸文件
從受害機器A拷貝文件到取證機器B。需要先在取證機器B上,用nc激活監聽。
取證機器B上運行: nc -l 1234 > text.txt
受害機器A上運行: nc 192.168.10.11 1234 < text.txt
注:取證機器B監聽要先打開,192.168.10.11是取證機器B的IP
- DD與NC結合傳輸硬盤數據
取證機器B上運行:
nc -l -p 4445 | dd of=/tmp/sda2.dd
受害機器A上執行傳輸,即可完成從受害機器A克隆sda硬盤到取證機器B的任務:
dd if=/dev/sda2 | nc 192.168.10.11 4445
可以用ls -lh命令,查看傳輸過來的數據大小。
2、AccessData FTK Imager掛載硬盤數據
Image Mounting掛載dd備份出來的硬盤數據。
3、參考
dd使用方法詳解