dd - 创建具有不同文件类型的多个分区的驱动器的取证副本
问题描述
我有一个 80GB 的小型驱动器,带有三个分区、两个 FAT 和一个 NTFS。使用 FTKImager 和 dd-for-windows ( http://www.chrysocome.net/dd ),我需要创建该驱动器的取证副本。
到目前为止,我学过的唯一 dd 命令是:
C:\windows\system32>[location of dd.exe] if=[location of raw image dump] of=\\.\[letter path of the copy drive]
如果驱动器已经使用与其复制的文件系统相同的文件系统,这可以用于将驱动器\分区转换为单个分区的取证副本。要仅使用此命令完成此任务,我必须对复制驱动器进行三次分区,制作三个映像转储并单独 dd 每个分区映像对。这看起来很乏味,甚至不会创建原始驱动器的真正取证副本。
有没有办法制作整个原始驱动器的原始映像,以及将第二个驱动器从该映像转换为第一个驱动器的副本的 dd 命令?
谢谢
解决方案
没有比这更容易的了!只需启动 Live Linux 系统,例如 Ubuntu、Debian 或 Kali,然后进入终端...
使用 fdisk -l 显示磁盘,查看磁盘 (80GB) 的位置……我现在将从 /dev/sdb 开始。然后你看看你想要转储去哪里,例如到一个有足够空间的分区的外部磁盘,这里假设是/dev/sdc1,然后你可以将磁盘写入一个图像......为此你挂载目标。我现在假设第三个磁盘 /dev/sdd 应该包含克隆
mkdir /tmp/mount
mount /dev/sdc1 /tmp/mount
并将所需的记录写入图像
dd if=/dev/sdb of=/tmp/mount/image.dd
现在您可以直接或通过 image.dd 将磁盘复制到另一个磁盘,但不能再挂载目标 /dev/sdd(您的克隆磁盘)!您可以使用“mount”检查并在之前重新安装所有内容
dd if=/dev/sdb of=/dev/sdd #Direct copy
dd if=/tmp/image.dd of=/dev/sdd #From the image.dd to a disk
希望这可以帮助