Linux硬盘和内存镜像取证在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。
准备工作
一台被镜像取证的电脑运行的Linux系统
一台电脑运行的Windows系统
两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘数据,是通过网络传输到windows系统的虚拟磁盘上,所以网络速度至关重要。
安装软件
在Linux系统上,下载RFSD并运行,RFSD是跨平台的文件操作服务,通过该服务可实现读取Linux硬盘数据。
执行如下命令:
wget http://ranfs.com/pub/rfsd/all/get.sh -O -|sh -s /tmp/rfsd
或使用curl
curl http://ranfs.com/pub/rfsd/all/get.sh -o -|sh -s /tmp/rfsd
命令解释:假定安装/tmp/rfsd目录,由于要读取硬盘数据,这里可能会要求输入root密码。
如果需要提取内存镜像 cd pmem 编译并加载驱动,如下:
cd pmem
make pmem
sudo insmod ./pmem.ko
防火墙配置,默认情况下,脚本自动配置了系统防火墙,放行了使用的端口,如果使用了其它防火墙,请手动放行端口,6688为rfp服务端口&#