DEV Community
·
使用取证Linux "Tsurugi Linux" 进行磁盘保存
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
Tsurugi Linux是一款专为取证设计的Linux发行版,包括轻量版Tsurugi Acquire和Tsurugi Linux LAB。本文介绍了使用Tsurugi进行设备磁盘镜像保存的步骤,包括调整时区、解锁设备、准备保存磁盘以及使用Guymager进行镜像保存。完成后,可确认保存的.E01和.info文件,记录详细信息和哈希值。Tsurugi的图形界面简化了保存过程。
🎯
关键要点
- Tsurugi Linux是一款专为取证设计的Linux发行版,包括轻量版Tsurugi Acquire和Tsurugi Linux LAB。
- 本文介绍了使用Tsurugi进行设备磁盘镜像保存的步骤。
- 首先调整时区以匹配本地区域,并遵循可信组织的指导。
- 在Tsurugi Acquire中,所有设备默认设置为只读,可以使用Tsurugi Device Unlocker解锁设备。
- 准备一个大于保存镜像的磁盘,解锁后进行分区和格式化。
- 使用Guymager进行镜像保存,选择保存目标和保存位置。
- 保存设置为E01格式,每2GB分割一次,并建议计算多个哈希值以防碰撞。
- 保存完成后,可以确认.E01文件和.info文件,记录详细信息和哈希值。
- 使用Tsurugi Linux可以通过图形界面轻松保存磁盘,具有一定的优势。
❓
延伸问答
Tsurugi Linux是什么?
Tsurugi Linux是一款专为取证设计的Linux发行版,包括轻量版Tsurugi Acquire和Tsurugi Linux LAB。
如何使用Tsurugi进行磁盘镜像保存?
使用Tsurugi进行磁盘镜像保存的步骤包括调整时区、解锁设备、准备保存磁盘,并使用Guymager进行镜像保存。
在Tsurugi中如何解锁设备?
在Tsurugi Acquire中,使用Tsurugi Device Unlocker解锁设备,默认情况下所有设备设置为只读。
保存的磁盘镜像文件格式是什么?
保存的磁盘镜像文件格式为E01,每2GB分割一次,并建议计算多个哈希值以防碰撞。
使用Tsurugi Linux的优势是什么?
使用Tsurugi Linux的优势包括通过图形界面简化保存过程,以及能够针对每个磁盘单独解锁的灵活性。
保存完成后如何确认文件?
保存完成后,可以确认.E01文件和.info文件,.info文件记录了使用的Guymager版本、详细信息和哈希值。
➡️
