2021-09-27 網(wǎng)安實(shí)驗(yàn)-取證分析-Linux系統(tǒng)取證

磁盤取證工具的使用

1、鏡像工具 dd

計(jì)算機(jī)取證時(shí)需要為計(jì)算機(jī)生成一個(gè)磁盤鏡像, 這個(gè)操作要在系統(tǒng)還在運(yùn)行的時(shí)候或在系統(tǒng)關(guān)閉之前進(jìn)行。最常使用的就是兩個(gè)工具： dd 和 netcat（兩者都是開源軟件，安裝簡單）。dd 為我們生成磁盤的位鏡像文件，而 netcat 將拷貝通過網(wǎng)絡(luò)傳送出去。你需要一臺聯(lián)網(wǎng)的電腦來接收該鏡像文件，而且該電腦需要有足夠的空間來存放鏡像文件。

復(fù)制/dev/xvdb 到文件 cyqdrive.dd 中。讀取錯(cuò)誤時(shí)，忽略該錯(cuò)誤而不停止拷貝行為。：

dd if=/dev/xvdb of=cyqdrive.dd bs=1024 count=1G

1

1）使用netcat傳輸數(shù)據(jù)到遠(yuǎn)程主機(jī)

當(dāng)當(dāng)前空間不足的時(shí)候，我們可以通過netcat工具將數(shù)據(jù)傳輸?shù)竭h(yuǎn)程主機(jī)。

首先在遠(yuǎn)程主機(jī)上，啟動 netcat 作為一個(gè)監(jiān)聽，用 netcat 監(jiān)聽 TCP 的 3452 端口，并將鏡像寫入文件 myimage.dd。 nc -l -p 3452 >

1

2

Linux 鏡像服務(wù)

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。