コンピュータフォレンジックの場合、(現場では取り外せない)被疑者のコンピュータがLinuxシステムであれば、次のように直接使用できるか?DDまたはdcfldd彼のコンピュータにディスクイメージを取得しますか?それとも、既存のオペレーティングシステムの上にHelix、Penguin sleuth、FFCUなどのフォレンジックライブCDが必要ですか?
ベストアンサー1
次のコマンドを実行するとき
# dd if=/dev/sda of=/path/to/external/medium/file.img
ライブシステムでの作業中に別のOSで起動してそこからイメージを作成すると、発生しないいくつかの問題が発生します。
ディスク全体をイメージ化する場合は、次のものが含まれます。ブートローダーそしてパーティションテーブル。これは、画像に対して法医学/修復を実行しようとすると邪魔になります。
実際に望むのは、各ファイルシステムを独立してミラーリングすることです。
# dd if=/dev/sda1 of=/path/to/external/medium/filesystem1.img # dd if=/dev/sda2 of=/path/to/external/medium/filesystem2.img ...etc...
これにより、ファイルシステムを簡単にマウントできます。
# mount -oloop,ro filesystem1.img /mnt/fs1
(
mount
一部のLinuxでは、rootとして完了をマークします。循環装置ロックされているため、一般ユーザーは使用できません。 )リアルタイムでマウントされたファイルシステムのスナップショットを撮るため、後でマウントするときに実際にコンピュータを再起動することと変わりはありません。パーティションは「汚い, 'エラーが発生し、損傷なしでインストールするのは困難です。
あなたは疑わしい機械を使用しています
dd(1)
。誰かがあなたに何かを隠そうとした場合、その人はそれを秘密にまたは悪意を持って提供している可能性がありますdd(1)
。
今こう言いましたが、いくつかありますいいねオンライン複製の理由。最善の理由は、システムが何らかの形式のファイルシステムを使用しているか、フルディスク暗号化、再起動すると、マウントされたボリュームの復号化キーが削除されます。
dd
ただし、これは保存されている暗号化されたデータのコピーのみを提供するため、作業に適したツールではありません。定期的にバックアップする方が良いです。例えば、
# tar -cvJf --exclude={'/proc/*','/sys/*','/tmp/*'} \
/path/to/external/medium/everything.tar.xz /
これにより、隠しパーティションなどは見つかりませんが、少なくともオペレーティングシステムがファイルシステムのルートから直接アクセスできるすべてのファイルの復号化を強制します。