#This will generate a raw copy of the diskddif=/dev/sdbof=disk.img
dcfldd
#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)dcflddif=<subjectdevice>of=<imagefile>bs=512hash=<algorithm>hashwindow=<chunksize>hashlog=<hashfile>dcflddif=/dev/sdcof=/media/usb/pc.imagehash=sha256hashwindow=1Mhashlog=/media/usb/pc.hashes
Ви можете створити образ диска, використовуючи ewf tools.
ewfacquire/dev/sdb#Name: evidence#Case number: 1#Description: A description for the case#Evidence number: 1#Examiner Name: Your name#Media type: fixed#Media characteristics: physical#File format: encase6#Compression method: deflate#Compression level: fast#Then use default values#It will generate the disk image in the current directory
Mount
Several types
В Windows ви можете спробувати використати безкоштовну версію Arsenal Image Mounter (https://arsenalrecon.com/downloads/), щоб монтувати образ дляensics.
cannot mount /dev/loop0 read-only в цьому випадку вам потрібно використовувати прапори -o ro,norecovery
wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error. в цьому випадку монтування не вдалося, оскільки зсув файлової системи відрізняється від зображення диска. Вам потрібно знайти розмір сектора та початковий сектор: