kali linux安装——持久加密USB安装

持久加密USB安装-1
• LUKS：Linux Unified Key Setup
• 磁盘分区加密规范
• 不依赖于操作系统的磁盘级加密
• Windows——DoxBox
• 后端：dm-crypt
• 前端：cryptsetup
• 微软的bitlocker加密技术
• 将镜像刻录到U盘–Kali（虚拟机进行实验）
• dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1M

前言

因为渗透测试的过程和结果会涉及很多机密的信息，如果电脑丢失，其他人是很容易获取到这些数据的，会给客户造成很大的影响，所以我们要对渗透的过程进行加密，保证数据的安全。

live的模式只能使用它现有的软件包，我们是无法对系统进行软件的更新和安装的，因为live的模式下，硬盘的挂载是只读的方式，是没有任何办法向磁盘写入数据的，即使写入了数据重启之后也是不存在的，持久加密USB意思是通过一些配置方法让live的USB开辟一块存储空间，把需要存储的文件写入U盘，但是为了保证它的安全性呢又把存储的信息进行加密。因为持久加密的工作方式是基于live之上的，所以要想实现持久加密的方式，必须首先做一个live USB的启动盘。

如何在Linux下生成一个Kali的启动U盘？

虚拟机的共享文件夹功能：将物理主机的一个目录或者一个分区共享给虚拟机，可进行虚拟机和物理机的文件交换。设置共享名称，给与权限。

使用方法，打开虚拟机，打开文件夹，选择文件系统，打开medir文件夹，选择sf_D_DRVER,这个表示物理主机的D盘。打开后可查看。然后拷贝Kali的ISO镜像文件到桌面，因为我们要做的是持久加密的USB盘，将镜像刻录的到U盘。

工具：DD 命令行工具，这个工具是基于块的拷贝。逐字节拷贝，将原磁盘的每个扇区，每个字节完全相同的复制得到另外一个设备，即使删除的文件，也能把磁盘文件的索引也一起拷贝，这个电子取证中的过程中是非常重要的。数据还原原理：操作系统对删除的操作只是把文件名在硬盘索引里面删除掉，但其实文件的所有内容还是在的，通过数据还原是可以找回的。

一、制作USB live启动盘

1、拷贝kali镜像文件到桌面

2、设备映射U盘到虚拟机kali。

终端命令：dmesg //查看系统的变化，如果你刚刚插入U盘，生成日志就会有SDB/SDC/SDD的字样，意思是插入的新插入的分区。这里主要是确保后续操作是没有错误的。

3、格式化U 盘
打开GParted分区编辑器，卸载删除该U盘的分区，保证该U盘干净。

4、终端命令：
dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1M
watch -n 5 killall -USR1 dd
//if表示inputfile，这里指定所拷贝的文件; of表示outputfile，指定输出的目录，这里输入到插入的U盘中。bs指定块大小，这里是每块复制1M

//因为dd命令的进行是显示不了执行效果的。所以可以打开另一个终端输入watch进行查看dd执行效果。命令的意思是对正在执行dd命令的效果每5秒汇报一次进展，-n指定汇报时间。

解释一下：live持久加密所制作的U盘，除了制作的ISO镜像文件启动所剩余的U盘空间都是用于加密的。

二、划分分区进行加密

1、为U盘创建额外分区

终端命令：

parted //进入磁盘分区工具
print devices //列出当前操作系统挂载的所有硬盘
select /dev/sdb //选择挂载的U盘设备
print //查看当前U盘有多少个分区
mkpart primary 3063 7063 //划分分区，这个分区的起始位置是上一个分区的结束位置
print //print查看后应该就比之前多出一个分区了
quit //退出该工具

2、使用LUKS加密分区

终端命令：

cryptsetup --verbose --verify-passphrase luksFormat /dev/sdb3 //对sdb3进行加密
YES //yes是上一条命令返回的，输入yes后执行加密
输入保护的密码
再次输入保护密码

3、 打开加密分区

因为目前只是对分区进行加密，还没有对分区进行系统级的格式化，所以没有办法进行写入文件，读写文件这些操作。

终端命令：

cryptsetup luksOpen /dev/sdb3 usb //打开加密的分区，usb是挂载到可读的目录下，可以随意起
输入密码
ls /dev/mapper/usb //查看生成的设备文件，后续就可以对该设备文件进行操作
​

4、格式化加密分区+卷标

终端命令：

mkfs.ext4 /dev/mapper/usb //系统级格式化,ext4是文件系统格式
e2label /dev/mapper/usb persistence //指定persistence持久卷标
mkdir -p /mnt/usb //新建目录，需要把USB设备mount到一个目录，才可以在USB设备写入文件
mount /dev/mapper/usb /mnt/usb //访问这个目录，实际就是访问这个设备，对它进行增删改查
​
​

5、挂载加密分区，并创建persistence.conf ⽂文件

echo “/ union” > /mnt/usb/persistence.conf //把“/ union”字符传输到persistence.conf文件，这个文件会在以持久USB 启动的时候被读取。
umount /dev/mapper/usb //把挂载卸载
cryptsetup luksClose /dev
到此 持久加密USB就制作完成了，至于系统的安装选择如图选项，系统引导过程中需要输入加密的密码。

以上如果在实验步骤的过程中出现问题的话，建议大家百度结合这篇文章进行实验，这样也许就会掌握的更加清楚，总之这里的USB持久加密制作应该总体来说是没有大问题的，有问题欢迎咨询我
欢迎关注我的个人微信公众号：信客之道

最后感谢大家的关注转发