Linux硬盘镜像获取与还原（dd、AccessData FTK Imager）

一、硬盘镜像获取工具：dd

dd是Linux/UNIX 下的一个很是有用的命令，做用是用指定大小的块拷贝一个文件，并在拷贝的同时进行指定的转换。

1.1 本地取数据

• 查看磁盘及分区

# fdisk -l

• 获取整个磁盘镜像文件

# dd if=须要拷贝的磁盘 of=/存储目录/镜像文件 （确保存储目录有足够的空间）

1.2 远程取硬盘数据·

克隆硬盘或分区的操做，不该在已经mount的的系统上进行，采起远程取的办法这样能够避免破坏现场。

• NC远程传输文件

从受害机器A拷贝文件到取证机器B。须要先在取证机器B上，用nc激活监听。

取证机器B上运行： nc -l 1234 > text.txt

受害机器A上运行： nc 192.168.10.11 1234 < text.txt

注：取证机器B监听要先打开，192.168.10.11是取证机器B的IP

• DD与NC结合传输硬盘数据

取证机器B上运行：

nc -l -p 4445 | dd of=/tmp/sda2.dd

受害机器A上执行传输，便可完成从受害机器A克隆sda硬盘到取证机器B的任务：

dd if=/dev/sda2 | nc 192.168.10.11 4445

能够用ls -lh命令，查看传输过来的数据大小。

二、AccessData FTK Imager挂载硬盘数据

Image Mounting挂载dd备份出来的硬盘数据。

三、参考

dd使用方法详解

http://www.jb51.net/LINUXjishu/157283.html