Na této stránce naleznete návod na vytvoření obrazu disku pro následnou analýzu. Správně vytvořený obraz disku je nutná podmínka pro kvalitní analýzu, zejména je nutné zajistit, aby s daty na disku nebylo během vytváření obrazu nijak manipulováno a nedošlo tak k přepsání důležitých digitálních stop. Možnosti se liší podle dostupného vybavení.
V první řadě je třeba zjistit, zda je k dispozici další (separátní) PC, ke kterému bude připojeno médium z podezřelého počítače, nebo bude nutné použít přímo podezřelý počítač ke kopírování dat na externí médium (pevný disk, USB klíčenka).
reg add "HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v “WriteProtect” /t REG_DWORD /d 1 /f
Následující návod byl sepsán pro distribuci Knoppix 7.0.3, ale lze přepodkládat, že bude téměř totožný i pro jiné distribuce.
boot
) napišteknoppix 2
a stiskněte enter.
fdisk -l
/dev/sdXY
(v případě raritního HW/SW pak /dev/hdXY
)X
zastupuje písmeno, počínaje a
, a každé písmeno odpovídá jednomu fyzickému zařízení)Y
zastupuje číslici, počínaje 1
, a každá číslice odpovídá logickému oddíluX
disku k analýze se bude lišit od X
cílového disku k uložení obrazu.mkdir analyza mount /dev/sdXY analyza
kde /dev/sdXY
je oddíl na disku, na který bude obraz ukládán.
dd
a gzip
/dev/sdXY
a gzipem zabalený uložen do adresáře analyza
dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/<date>_<organization>_<incident_description>_<machine_type>_<customer>.dd.gz
<date>
- datum ve formátu yyyy-mm-dd (např. 2012-04-15)<organization>
- organizace vlastnící podezřelé PC (např. ZCU)<machine_type>
- typ stroje (např. server/workstation/tablet/phone)<customer>
- zadavatel (např. knykles)Praktický příklad: Získání obrazu disku pomocí Knoppix Live CD |
Následující postup je založen na volně použitelném nástroji FTK imager.
Praktický příklad: Získání obrazu disku pomocí nástroje FTK Imager |