本文详细介绍了如何在Linux系统中使用dd命令进行硬盘镜像的获取和远程数据传输,以及利用AccessData FTK Imager进行硬盘数据的挂载和恢复。内容包括dd的常用参数、实例分析如整盘备份恢复、MBR备份、远程备份等,以及FTK Imager在数据处理中的应用。
1、硬盘镜像获取工具:dd
dd是Linux/UNIX 下的一个非常有用的命令,作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。
1.1 本地取数据
查看磁盘及分区
# fdisk -l
获取整个磁盘镜像文件
# dd if=需要拷贝的磁盘 of=/存储目录/镜像文件 (确保存储目录有足够的空间)
1.2 远程取硬盘数据·
克隆硬盘或分区的操作,不应在已经mount的的系统上进行,采取远程取的办法这样可以避免破坏现场。
NC远程传输文件
从受害机器A拷贝文件到取证机器B。需要先在取证机器B上,用nc激活监听。
取证机器B上运行: nc -l 1234 > text.txt
受害机器A上运行: nc 192.168.10.11 1234 < text.txt
注:取证机器B监听要先打开,192.168.10.11是取证机器B的IP
DD与NC结合传输硬盘数据
取证机器B上运行:
nc -l -p 4445 |<
最低0.47元/天 解锁文章
扫一扫
1363
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
