Linux硬盤鏡像獲取與還原（dd、AccessData FTK Imager）

一、硬盤鏡像獲取工具：dd

dd是Linux/UNIX 下的一個很是有用的命令，做用是用指定大小的塊拷貝一個文件，並在拷貝的同時進行指定的轉換。

1.1 本地取數據

• 查看磁盤及分區

# fdisk -l

• 獲取整個磁盤鏡像文件

# dd if=須要拷貝的磁盤 of=/存儲目錄/鏡像文件 （確保存儲目錄有足夠的空間）

1.2 遠程取硬盤數據·

克隆硬盤或分區的操做，不該在已經mount的的系統上進行，採起遠程取的辦法這樣能夠避免破壞現場。

• NC遠程傳輸文件

從受害機器A拷貝文件到取證機器B。須要先在取證機器B上，用nc激活監聽。

取證機器B上運行： nc -l 1234 > text.txt

受害機器A上運行： nc 192.168.10.11 1234 < text.txt

注：取證機器B監聽要先打開，192.168.10.11是取證機器B的IP

• DD與NC結合傳輸硬盤數據

取證機器B上運行：

nc -l -p 4445 | dd of=/tmp/sda2.dd

受害機器A上執行傳輸，便可完成從受害機器A克隆sda硬盤到取證機器B的任務：

dd if=/dev/sda2 | nc 192.168.10.11 4445

能夠用ls -lh命令，查看傳輸過來的數據大小。

二、AccessData FTK Imager掛載硬盤數據

Image Mounting掛載dd備份出來的硬盤數據。

三、參考

dd使用方法詳解

http://www.jb51.net/LINUXjishu/157283.html