Как снять образ жесткого диска в Linux

Инструмент форензики

Посекторную копию жесткого диска вполне можно снять, не прибегая к дополнительным утилитам. Мы будем использовать старую и проверенную в работе нативную утилиту dd. Она позволяет создавать точные побитовые копии — как целых дисков, так и отдельных разделов и даже просто файлов.

Еще по теме: Дистрибутивы для криминалистического анализа

Снятие образов дисков в Linux и работа с ними штатными средствами системы может привести к непреднамеренной записи, что в серьезной криминалистике исключено. Используйте команды ниже, только если считаете, что в вашем случае это допустимо.

Но первоначально запросим у системы полный список разделов с помощью команды fdisk:

Просмотр списка файловых систем
Просмотр списка файловых систем

Базовый синтаксис dd выглядит так:

К примеру, для создания копии HDD с размером кластера 512 байт:

В процессе копирования HDD могут быть поврежденные сектора. Чтобы программа не спотыкалась о них и не останавливала работу, необходимо добавить дополнительный ключ -noerror:

Результат работы утилиты dd
Результат работы утилиты dd

Однако лучшие мировые практики — это использовать усовершенствованный вариант предыдущей утилиты под названием dcfldd. Этот инструмент разработан в компьютерной судебной лаборатории DCFL и имеет ряд специальных опций для снятия дампов с целью криминалистического анализа.

Например, dcfldd умеет хешировать копируемые данные и проверять их целостность. По ходу дела отображается прогресс создания дампа, действия заносятся в лог, а контрольные суммы MD5 сохраняются в отдельный файл.

Пример выполнения команды:

Результат работы утилиты dcfldd
Результат работы утилиты dcfldd

Вместо консоли при желании можно пользоваться графической версией FTK.

Еще по теме: Как открыть форензик образы FTK Imager и Encase в 7-Zip

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий

  1. Иван

    Здравствуйте. Не совсем понимаю, для чего нужно хешировать копируемые данные?

    Ответить