Главная » Песочница » Как снять образ жесткого диска в Linux

Как снять образ жесткого диска в Linux

снять образ жесткого диска Linu

Посекторную копию жесткого диска вполне можно снять, не прибегая к дополнительным утилитам. Мы будем использовать старую и проверенную в работе нативную утилиту dd. Она позволяет создавать точные побитовые копии — как целых дисков, так и отдельных разделов и даже просто файлов.

Еще по теме: Дистрибутивы для криминалистического анализа

Снятие образов дисков и работа с ними штатными средствами системы может привести к непреднамеренной записи, что в серьезной криминалистике исключено. Подробности читай в статье «Тулкит для форензики» (раздел «Как не наследить следопыту»). Используй команды ниже, только если считаешь, что в твоем случае это допустимо.

Но первоначально запросим у системы полный список разделов с помощью команды fdisk:

Просмотр списка файловых систем
Просмотр списка файловых систем

Базовый синтаксис dd выглядит так:

К примеру, для создания копии HDD с размером кластера 512 байт:

В процессе копирования HDD могут быть поврежденные сектора. Чтобы программа не спотыкалась о них и не останавливала работу, необходимо добавить дополнительный ключ -noerror:

Результат работы утилиты dd
Результат работы утилиты dd

Однако лучшие мировые практики — это использовать усовершенствованный вариант предыдущей утилиты под названием dcfldd. Эта тулза разработана в компьютерной судебной лаборатории DCFL и имеет ряд специальных опций для снятия дампов с целью криминалистического анализа.

Например, dcfldd умеет хешировать копируемые данные и проверять их целостность. По ходу дела отображается прогресс создания дампа, действия заносятся в лог, а контрольные суммы MD5 сохраняются в отдельный файл.

Пример выполнения команды:

Результат работы утилиты dcfldd
Результат работы утилиты dcfldd

Вместо консоли при желании можно пользоваться графической версией уже известной нам по прошлой статье утилиты FTK.

Еще по теме: Как открыть форензик образы FTK Imager и Encase в 7-Zip

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *