数字取证中的磁盘与介质镜像获取技术
在数字取证领域,磁盘和介质的镜像是获取和保存证据的关键步骤。以下将详细介绍几种不同场景和介质的镜像获取方法。
远程磁盘镜像获取并转换为EnCase或FTK格式
可以将远程ssh命令管道传输到其他程序,以执行任务或转换为其他格式。例如,远程获取原始镜像并将其转换为EnCase/EWF格式并写入磁盘。以下是一个远程PC被远程镜像到检查工作站并保存为*.ewf文件的示例:
# ssh remote-pc "dd if=/dev/sda" | ewfacquirestream -D 16048539022588504422 -t eepc-16048539022588504422此命令使用的获取参数如下表所示:
| 参数 | 值 |
| — | — |
| 图像路径和文件名 | eepc-16048539022588504422.E01 |
| 案件编号 | case_number |
| 描述 | 16048539022588504422 |
| 证据编号 | evidence_number |
| 检查人员姓名 | examiner_name |
| 备注 | notes |
| 媒体类型 | fixed disk |
| 是否为物理磁盘 | yes |
| EWF文件格式 | EnCase 6 (.E01) |
| 压缩方法 | deflate |
| 压缩级别 | none |
| 获取开始偏移量 | 0 |
