DEV Community
·
使用取证Linux "C.A.IN.E." 进行磁盘保存
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
C.A.IN.E.是基于Ubuntu的PC取证环境,本文介绍了如何使用C.A.IN.E. 13.0进行安全的只读模式下的磁盘镜像保存,界面友好。
🎯
关键要点
- C.A.IN.E.是一个基于Ubuntu的PC取证环境,专为取证目的设计,用户友好且文档组织良好。
- 本文介绍如何使用C.A.IN.E. 13.0进行安全的只读模式下的磁盘镜像保存。
- 在开始之前,确保下载的ISO文件的SHA256哈希值正确。
- 建议使用USB启动目标设备,本文中使用VMware进行演示。
- 在保存磁盘镜像之前,调整时区并记录操作及其时间戳。
- 使用Mounter工具以只读模式挂载目标磁盘,确保安全性。
- 准备一个大于保存镜像的磁盘,并在Writable模式下进行挂载。
- 使用Guymager进行磁盘镜像保存,默认设置下将图像保存为E01格式,分割为2GB段。
- 保存完成后,确认.E01文件和.info文件已成功保存,.info文件包含详细信息和哈希值。
- C.A.IN.E.提供了易于使用的图形界面,适合实际取证使用,建议准备一个Live启动USB。
➡️
