首先查看附件的驱动器和其他存储设备是如果挂载在文件系统上的,然后是根目录。在这个上下文中挂载仅仅意味着将驱动器或磁盘附加到文件系统,使操作系统能够访问它们。黑客通常使用外部媒介来加载数据、黑客工具,甚至他们的操作系统。在目标系统上,你需要了解正在处理的文件、在何处查找机密文件或其他关键文件、如何将驱动器挂载到目标系统,是否以及在何处可以将这些文件放在系统上。本章将介绍所有这些主题,以及如何管理和监视存储设备。
linux中的每个设备都由/dev目录中的文件表示。
设备目录/DEV
cd /dev
kali >ls -l total 0
你可能认识其中一些设备,比如cdrom和cpu,但其他设备的名称相当神秘。系统上的每个设备都在这目录中用一个文件表示。
滚动屏幕,会看到更多的设备清单,特别有趣的是设备sda1、sda2、sda3、sdb和sdb1,它们是硬盘驱动器及其分区、USB闪存驱动器及其分区。
linux如何表示存储设备
linux对随后挂载在文件系统上的驱动器使用逻辑标签。这些逻辑标签将根据驱动器的挂载位置而变化。
相同的硬盘驱动器可能在不同的时间有不同的标签,这取决于它挂载的位置和时间
最初,linux将软盘驱动器表示为fd0,硬盘表示为hda。你仍然偶尔在遗留的linux系统上看到这些驱动器的表示,但今天大多数软盘驱动器都消失了(感谢上帝)。即使如此,使用IDE或E-IDE接口的旧的遗留硬盘驱动器仍然以hda的形式表示。较新的串行ATA(SATA)接口驱动器和小型计算机系统接口(SCSI)硬盘驱动器被表示为sda。硬盘分区部分用数字表示。
当系统有多个驱动器时,通常按字母顺序递增最后一个字母。
硬盘分区
分区,以便管理和分离信息。例如,你可能想要将硬盘驱动器分开,以便交换文件、主目录和/目录都位于单独的分区上——这样做可能有很多原因,包括共享资源和放松默认权限。
安全的核心在于人为的取舍。安全是相对的,你必须兼顾其他部门人员的工作效率和方便性,牺牲所谓的伪安全。俗话说,艺高人胆大,一个公司的安全在于人,而不是设备,不是规定与制度,不是流程与规则。从这个角度来看,所谓的人工智能取代人的岗位,只是一个笑话。天天出门三级甲,三级头累不累?
每个分区的驱动器名称后都加上一个次要编号。
查看分区,可用容量
fdisk -l
交换分区sda5,当RAM容量超过时,它充当虚拟RAM——类似于Windows中的虚拟页面文件。
注意,fdisk表示它是HPFS/NTFS/ExFAT文件系统类型。
高性能文件系统HPFS 新技术文件系统NTFS 扩展文件分配表exFAT 不是linux系统的本机文件,而是macOS和Windows系统的。在进行研究时,能够识别不同系统的原生文件类型是值得的。这可能指出驱动器的格式设置在哪种机器上。kali能够使用在许多不同操作系统上创建的USB闪存驱动器。
linux使用许多不同类型的文件系统,最常见的是ext2、ext3和ext4。这些都是ext(或扩展的)文件系统的升级版,4是最新的。
字符和块设备
/dev目录中设备文件的命名,还需要注意第一个位置包含c或b。
这些字母代表设备输入和输出数据的两种方式。c代表字符,这些设备被称为字符设备。通过逐个字符(如鼠标或键盘)发送和接收数据与系统交互的外部设备是字符设备。
b代表第二种类型,块设备。它们以数据块(一次多个字节)进行通信,包括硬盘驱动器和DVD驱动器等设备。这些设备需要更高的数据吞吐量,因此以块(一次多个字符或字节)的形式发送和接收数据。
使用lsblk列出块设备和信息
lsblk(list block的缩写)
我们还可以在驱动器的挂载点上看到信息。硬盘sda1安装在/目录 闪存驱动器安装在/media目录
安装和卸载
大多数现在操作系统,包括linux大多数新版本,在附加存储设备时自动加载它们,这意味着新的闪存驱动器或硬盘驱动器将自动附加到文件系统。
存储设备必须首先物理连接到文件系统,然后逻辑的连接到文件系统,以便数据对操作系统可用。
即使设备在物理上与系统相连,它也不一定在逻辑上与操作系统相连并可用。术语mount是计算机早期的遗留问题,当时存储磁带必须物理地挂载到计算机系统中。
目录树种附加设备的点称为挂载点。linux中的两个主要挂载点是/mnt和/media。一般来说,内部硬盘安装在/mnt上,外部USB设备安装在/media上,但从技术上讲,可以使用任何目录。
自己安装存储设备
在某些版本的linux中,需要手动挂载驱动器才能访问。如果将设备挂载到具有子目录和文件的目录上,则该目录的内容将被覆盖。
mount /dev/sdb1 /mnt
mount /dev/sdc1 /media
挂载在系统上的文件系统保存在/etc/fstab(文件系统表的缩写)的文件中,系统每次启动时读取该文件系统。
卸载与umount
日常中的“弹出”,以防止对存储在设备上的文件造成损害。其实就是umount
umount /dev/sdb1
无法卸载正在使用中的设备,会受到一个错误。
监控文件系统
获取挂载磁盘上的信息
命令df,默认为系统上第一个驱动器。想检查另一个驱动df sdb
检查错误
fsck命令(文件系统检查的缩写)检查文件系统的错误并修复损害。要运行fsck命令,需要指定文件系统类型(默认为ext2)和要检查的设备文件。重要的是,在运行文件系统检查之前,必须卸载驱动器。如果卸载挂载的设备失败,会受到以下内容
第一步是卸载设备,例如USB
umount /dev/sdb1
fsck -p /dev/sdb1 -p选项,让fsck自动修复设备的任何问题