CHFI v9 PLAB 2 : Thu Thập Dữ Liệu Chứng Cứ Số — Bài Tập 2 — Thu thập dữ liệu với dd trong Linux

Xem thêm : Hiểu Về Điều Tra Chứng Cứ Số

Thu Thập Dữ Liệu Chứng Cứ Số — Bài Tập 1

Đăng kí học :

Bài tập 2 — Thu thập dữ liệu với dd trong Linux

Làm theo các bước sau để tạo ảnh đĩa NTFS trên đĩa FAT32 bằng cách sử dụng lệnh dd.Các lệnh Linux / UNIX phân biệt chữ hoa chữ thường, vì vậy hãy đảm bảo rằng bạn nhập các lệnh chính xác như được trình bày trong các bước của phần này.

Nhiệm vụ 1 — Sử dụng lệnh dd

Để sử dụng lệnh dd để tạo tệp hình ảnh của thiết bị lưu trữ, hãy thực hiện các bước sau:

Bước 1

Trên thiết bị PLABWIN810 , cửa sổ Terminal của KALI Linux đang mở.

Tại dấu nhắc shell, liệt kê tất cả các ổ đĩa được kết nối với loại máy tính:

fdisk -l

Nhấn Enter .

Bước 2

Sau đây là đầu ra của lệnh fdisk.

Bước 3

Để thay đổi thư mục mặc định của bạn thành ổ đĩa đích, hãy nhập:

cd /mnt/sdb1

Nhấn Enter .

Bước 4

Liệt kê nội dung của cấp độ gốc của ổ đĩa đích bằng cách nhập

ls -al

Và nhấn Enter.

Đầu ra của bạn phải tương tự như sau:

total 8 drwxr-xr-x 2 root root 4096 Jun 1 03:35 . drwxr-xr-x 3 root root 4096 Jun 1 03:35 ..

Bước 5

Để tạo một thư mục đích nhận các bản lưu hình ảnh của ổ đĩa nghi ngờ, hãy nhập:

mkdir case01

Nhấn Enter .

Bước 6

Để thay đổi thư mục đích mới được tạo, hãy nhập:

cd case01

Nhấn Enter .

Đừng đóng cửa sổ shell.

Bước 7

Tiếp theo, bạn thực hiện chuyển ảnh định dạng thô của toàn bộ ổ đĩa nghi ngờ vào thư mục đích. Để làm điều này, bạn sử dụng lệnh tách với lệnh dd. Lệnh phân tách tạo phần mở rộng gồm hai ký tự cho mỗi ổ đĩa được phân đoạn .. Theo quy tắc chung, nếu bạn định sử dụng công cụ pháp y của Windows để kiểm tra tệp hình ảnh dd được tạo bằng công tắc này, các ổ đĩa được phân đoạn không được vượt quá 2 GB mỗi ổ vì giới hạn kích thước tệp FAT32. Giới hạn 2 GB này cho phép bạn chỉ sao chép tối đa 198 GB đĩa của nghi phạm. Nếu bạn cần sử dụng lệnh dd, tốt hơn nên sử dụng mặc định của lệnh tách gồm các phần mở rộng chữ cái tăng dần và tạo các phân đoạn nhỏ hơn. Để điều chỉnh kích thước âm lượng được phân đoạn, hãy thay đổi giá trị cho

Bây giờ, hãy nhập:

dd if=/dev/sdb1 conv=sync,noerror bs=64K | gzip -c | split -b 2000m - /system_drive_backup.img.gz

Nhấn Enter .

Bước 8

Sau vài phút, bạn sẽ nhận được kết quả là ảnh tệp đã tạo, tương tự như ảnh chụp màn hình sau đây.

Đóng cửa sổ Terminal .

Bước 9

Để xem ảnh thô đã được tạo từ lệnh dd và lệnh tách, bấm đúp vào biểu tượng Máy tính trên màn hình nền.

Bước 10

Trên cửa sổ đang mở, bấm Hệ thống tệp ở ngăn bên trái.

Lưu ý tệp hình ảnh system_drive_backup.img.gzaa .

Nhấp chuột phải vào tệp đã nói và chọn Cắt .

Bước 11

Dán tệp hình ảnh vào thư mục / mnt / sdb1 / case01 .

Đóng cửa sổ Hệ thống Tệp .

Bước 12

Để hoàn tất việc mua lại này, hãy mở lại GParted .

Gỡ bỏ mục tiêu / dev / sdb1 bằng cách nhấp chuột phải vào nó và chọn Unmount.

Đóng GParted sau khi thiết bị được tháo gỡ.

Bước 13

Trong loại Terminal, Sudo Reboot

Originally published at http://cehvietnam.com on February 19, 2021.