====== Získání obrazu disku pomocí Knoppix Live CD ======

Praktický příklad vytvoření obrazu disku pomocí Linuxové Knoppix 7.0.3 přímo na podezřelé stanici.

===== Příprava mimo podezřelý počítač =====
  - Stáhnutí [[http://www.knopper.net/knoppix-mirrors/download.php?lang=en&link=ftp://ftp.uni-kl.de/pub/linux/knoppix/|bootovacího obrazu ]]
  - Vypálení ISO na CD/DVD, např. pomocí [[http://www.freeisoburner.com/|Free ISO Burner]]

===== Co je potřeba k zásahu =====
  * CD/DVD/Flashdisk s Knoppix live CD.
  * Externí (preferováno) nebo interní disk s větší kapacitou než disk, ze kterého bude vytvářen obraz.
  * Dostatek času k vytvoření obrazu disku (jednotky až desítky hodin).

===== Operace s podezřelým počítačem =====
  - Vložení disku pro uložení obrazu.
  - Vložení Knoppix CD/DVD do mechaniky.
  - Zapnutí počítače.
  - Volba nastartování v konzolovém režimu <code>boot: knoppix 2</code>
  - Zjištění připojených zařízení <code># fdisk -l
Disk /dev/sda: 80.0 GB, 80000000000 bytes
255 heads, 63 sectors/track, 9726 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes`<<BR>>`Disk identifier: 0xc871d419
Device Boot      Start         End      Blocks   Id  System
/dev/sda1               1           5       40131   de  Dell Utility
/dev/sda2   *           6        1280    10241437+   7  HPFS/NTFS
/dev/sda3            1281        9726    67842495    f  W95 Ext'd (LBA)
/dev/sda5            1281        1542     2104483+  82  Linux swap / Solaris
/dev/sda6            1543        7917    51207156   83  Linux
/dev/sda7            7918        9726    14530761    b  W95 FAT32
Note: sector size is 4096 (not 512)

Disk /dev/sdb: 3000.6 GB, 3000558944256 bytes
1 heads, 1 sectors/track, 732558336 cylinders, total 732558336 sectors
Units = cylinders of 1 * 4096 = 4096 bytes
Sector size (logical/physical): 4096 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x000246c6
  Device Boot      Start         End      Blocks   Id  System
  /dev/sdb1             257   732558336  2930232320    7  HPFS/NTFS</code>
    * ''sda*'' jsou oddíly disku analyzovaného disku
    * ''sdb1'' je vložený disk pro uložení obrazu
  - Připojení (přimountování) disku pro uložení obrazu pomocí příkazů <code># mkdir analyza
# mount /dev/sdb1 analyza</code>
  - Vlastní vytvoření obrazu <code># dd if=/dev/sda2 bs=8M | gzip -cv9 > analyza/2012-07-20_ZCU_test_desktop_apadrta.dd.gz
89.3%
1250+1 records in
1250+1 records out
1048723200 bytes (10GB) copied, 743, 89s, 14.1 MB/s
# </code>
    * Zde je předpokládáno, že cílem zájmu je pouze logický oddíl 2
  - Odpojení disku <code># umount analyza</code>
  - Vypnutí počítače <code># shutdown -h now</code>
  - Nyní je na vloženém disku uložen obraz disku původního