В предыдущей инструкции я показал, как восстановить данные на Linux с помощью Foremost. Но прежде чем восстанавливать данные при помощи Foremost, необходимо создать образ диска. Сегодня покажу, как создать образ диска с помощью Guymager.
Еще по теме: Как восстановить удаленные файлы Linux с PhotoRec
Что такое Guymager
При компьютерной экспертизе очень важно не изменять информацию на носителях. Перед анализом, доказательства должны быть скопированы. С этой задачей прекрасно справиться Guymager.
Guymager — инструмент для создания образа дисков. Guymager основан на libewf и libguytools. Работает только в Linux и по умолчанию установлен в Kali Linux.
Возможности Guymager:
- Очень простой в использовании GUI.
- Благодаря многопоточности работает очень шустро.
- Полностью задействует все процессоры машины.
- Создает образы: dd, EWF (E01) и AFF и поддерживает клонирование дисков.
- Бесплатный, с открытым исходным кодом.
Установка Guymager на Linux
Guymager по умолчанию установлен в полной версии Kali Linux. Если вы используете другой дистрибутив Linux, то вот, как установить.
Установка Guymager на Linux с помощью RPM
Guymager можно установить с помощью DEB, RPM, XZ или в ручную.
Самостоятельная загрузка и установка пакетов Debian
Если вы не хотите добавлять репозиторий pinguin, можете загрузить и установить пакеты вручную:
Перейдите к deb.pinguin.lu и выберите каталог, соответствующий архитектуре вашего процессора (i386 или amd64).
Примечание: amd64 относится к архитектуре, а не к процессору. Так, amd64 подходит как для 64-битных процессоров AMD, так и для Intel.
Откройте терминал с правами root. Перейдите в каталог со скачанными файлами и выполните следующие команды:
1 2 3 |
sudo apt-get update sudo dpkg -i guymager-beta_xxx_amd64.deb sudo apt-get -f install |
xxx указывает на номер версии. Если используется 32-битная система, замените amd64 на i386.
После выполнения второй команды, вы скорее всего, увидите сообщение об отсутствующих пакетах. Они устанавливаются выполнением 3-й команды.
Есть два рекомендуемых пакета, которые вы также должны установить:
1 |
sudo apt-get install smartmontools hdparm |
Создание образа диска на Linux с Guymager
Для примера, попробуем создать образ флешки.
Для запуска выполняем команду:
1 |
sudo guymager |
Для сканирования недавно подключенных устройств, можно использовать функцию Rescan (Повторное сканирование).
Подключаем флешку и нажимаем Rescan или нажимаем на F5.
После подключения, появится информация о носителе (серийный номер и т.п.).
Для создания образа диска, нажмите правой кнопкой мышки на диске и выберите пункт Clone (Клонировать). После чего появиться следующее окно.
Можно клонировать флешку на жесткие диски или любые другие доступные носители.
Для создания образа флешки или диска, кликните правой кнопкой на диске и выберите пункт Acquire image. После чего появится следующее окно:
Здесь можно выбрать формат файла, указать ID кейса, добавить описание, примечание и выбрать каталог в который будет сохранен образ.
Можно также разделить диск (Split size) и вычислить хеш MD5, SHA1 и SHA-256 (Calculate MD5). В конце, для создания образа, нажимаем на Start.
Процесс создания образа флешки:
После завершения процесса, будет создан файл образа в формате dd.
Файл dd — это образ USB-накопителя. Теперь можно использовать инструменты форензики. В данном случае, поиск и извлечение информации будет происходить быстро, так как файл образа dd будет находиться на нашем жестком диске.
ПОЛЕЗНЫЕ ССЫЛКИ: