Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks beworben sehen? oder möchten Sie Zugriff auf die neueste Version des PEASS oder HackTricks als PDF herunterladen? Überprüfen Sie die ABONNEMENTPLÄNE!
#This will generate a raw copy of the diskddif=/dev/sdbof=disk.img
dcfldd
#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)dcflddif=<subjectdevice>of=<imagefile>bs=512hash=<algorithm>hashwindow=<chunksize>hashlog=<hashfile>dcflddif=/dev/sdcof=/media/usb/pc.imagehash=sha256hashwindow=1Mhashlog=/media/usb/pc.hashes
Sie können ein Festplattenabbild mithilfe der ewf tools generieren.
ewfacquire/dev/sdb#Name: evidence#Case number: 1#Description: A description for the case#Evidence number: 1#Examiner Name: Your name#Media type: fixed#Media characteristics: physical#File format: encase6#Compression method: deflate#Compression level: fast#Then use default values#It will generate the disk image in the current directory
Mount
Mehrere Typen
In Windows können Sie versuchen, die kostenlose Version von Arsenal Image Mounter (https://arsenalrecon.com/downloads/) zu verwenden, um das forensische Image zu mounten.
cannot mount /dev/loop0 read-only in diesem Fall müssen Sie die Flags -o ro,norecovery verwenden
wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error. in diesem Fall ist das Einhängen fehlgeschlagen, da der Offset des Dateisystems sich vom Offset des Disk-Images unterscheidet. Sie müssen die Sektorengröße und den Startsektor finden:
Arbeiten Sie in einem Cybersicherheitsunternehmen? Möchten Sie Ihr Unternehmen in HackTricks beworben sehen? oder möchten Sie Zugriff auf die neueste Version des PEASS erhalten oder HackTricks im PDF-Format herunterladen? Überprüfen Sie die ABONNEMENTPLÄNE!