我有一个80GB的小驱动器,有三个分区,两个FAT和一个NTFS。对windows使用FTKImager和dd(http://www.chrysocome.net/dd),我需要创建此驱动器的取证副本。
到目前为止,我唯一学到的dd命令是:
C:windowssystem32>[location of dd.exe] if=[location of raw image dump] of=\.[letter path of the copy drive]
如果驱动器已经使用与其复制的文件系统相同的文件系统,则可以使用此方法将驱动器\分区转换为单个分区的取证副本。要使用这个命令完成这项任务,我必须对拷贝驱动器进行三次分区,制作三个映像转储,并分别添加每个分区映像对。这看起来很乏味,甚至无法创建原始驱动器的真正法医副本。
有没有一种方法可以将原始驱动器作为一个整体生成原始映像,并使用dd命令将第二个驱动器转换为该映像中第一个驱动器的副本?
谢谢
没有比这更容易的了!只需启动一个Live Linux系统,例如Ubuntu、Debian或Kali,然后进入终端。。。
使用fdisk-l可以显示磁盘,查看您的磁盘(80GB(在哪里。。。现在我将从/dev/sdb开始。然后,您可以查看转储的位置,例如,到一个具有足够空间的分区的外部磁盘,这里假设为/dev/sdc1,然后您可以将磁盘写入映像。。。为此,您可以安装目标。我现在假设第三个磁盘/dev/sdd应该包含克隆
mkdir /tmp/mount
mount /dev/sdc1 /tmp/mount
并将所需记录写入图像
dd if=/dev/sdb of=/tmp/mount/image.dd
现在,您可以直接或通过image.dd将磁盘复制到另一个磁盘,但不能再装载目标/dev/sdd(您的克隆磁盘(!你可以用"挂载"进行检查,并在之前重新挂载所有东西
dd if=/dev/sdb of=/dev/sdd #Direct copy
dd if=/tmp/image.dd of=/dev/sdd #From the image.dd to a disk
希望这能帮助