Создание forensi c копии диска с несколькими разделами разных типов файлов

Question

У меня маленький 80 ГБ диск с тремя разделами, двумя FAT и одним NTFS. Используя FTKImager и dd-for- windows (http://www.chrysocome.net/dd), мне нужно создать forensi c копию этого диска.

Единственная команда dd, которую я принимал До сих пор учат:

C:\windows\system32>[location of dd.exe] if=[location of raw image dump] of=\\.\[letter path of the copy drive]

Это можно использовать для превращения диска \ раздела в forensi c копию одного раздела, если диск уже использует тот же файл система, как ее копирование. Чтобы выполнить эту задачу, просто используя эту команду, мне пришлось бы трижды разбить диск для копирования, сделать три дампа образа и создать каждую пару разделов-образов отдельно. Это кажется утомительным и даже не создаст настоящую forensi c копию исходного диска.

Есть ли способ сделать необработанный образ исходного диска в целом и команду dd, которая будет превратить второй диск в копию первого с этого образа?

Спасибо

Answer 1

Нет ничего проще! Просто загрузите систему Live Linux, например, Ubuntu, Debian или Kali, затем вы go в терминал ...

С помощью fdisk -l вы отобразите диск, посмотрите, где находится ваш диск (80 ГБ) .. Теперь я начну с / dev / sdb. Затем вы посмотрите, куда вы хотите поместить дамп на go, например, на внешний диск с разделом, на котором достаточно места, который предполагается здесь / dev / sdc1, затем вы можете записать диск в образ ... для что вы монтируете цель. Теперь я предполагаю, что третий диск / dev / sdd должен содержать клон

mkdir /tmp/mount

mount /dev/sdc1 /tmp/mount

и записать нужную запись в образ

dd if=/dev/sdb of=/tmp/mount/image.dd

Теперь вы можете скопировать диск напрямую или через файл image.dd на другой, но цель / dev / sdd (ваш диск-клон) больше не должна монтироваться! Вы можете проверить с помощью "mount" и перемонтировать все до

dd if=/dev/sdb of=/dev/sdd #Direct copy dd if=/tmp/image.dd of=/dev/sdd #From the image.dd to a disk

Надеюсь, это поможет