DEV Community
·
使用取证Linux "Tsurugi Linux" 进行磁盘保存
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
Tsurugi Linux是一款专为取证设计的Linux发行版,包括轻量版Tsurugi Acquire和Tsurugi Linux LAB。本文介绍了使用Tsurugi进行设备磁盘镜像保存的步骤,包括调整时区、解锁设备、准备保存磁盘以及使用Guymager进行镜像保存。完成后,可确认保存的.E01和.info文件,记录详细信息和哈希值。Tsurugi的图形界面简化了保存过程。
🎯
关键要点
- Tsurugi Linux是一款专为取证设计的Linux发行版,包括轻量版Tsurugi Acquire和Tsurugi Linux LAB。
- 本文介绍了使用Tsurugi进行设备磁盘镜像保存的步骤。
- 首先调整时区以匹配本地区域,并遵循可信组织的指导。
- 在Tsurugi Acquire中,所有设备默认设置为只读,可以使用Tsurugi Device Unlocker解锁设备。
- 准备一个大于保存镜像的磁盘,解锁后进行分区和格式化。
- 使用Guymager进行镜像保存,选择保存目标和保存位置。
- 保存设置为E01格式,每2GB分割一次,并建议计算多个哈希值以防碰撞。
- 保存完成后,可以确认.E01文件和.info文件,记录详细信息和哈希值。
- 使用Tsurugi Linux可以通过图形界面轻松保存磁盘,具有一定的优势。
➡️
