Získání obrazu disku pomocí Knoppix Live CD

Praktický příklad vytvoření obrazu disku pomocí Linuxové Knoppix 7.0.3 přímo na podezřelé stanici.

1. Stáhnutí bootovacího obrazu
2. Vypálení ISO na CD/DVD, např. pomocí Free ISO Burner

• CD/DVD/Flashdisk s Knoppix live CD.
• Externí (preferováno) nebo interní disk s větší kapacitou než disk, ze kterého bude vytvářen obraz.
• Dostatek času k vytvoření obrazu disku (jednotky až desítky hodin).

1. Vložení disku pro uložení obrazu.
2. Vložení Knoppix CD/DVD do mechaniky.
3. Zapnutí počítače.
4. Volba nastartování v konzolovém režimu

   boot: knoppix 2

5. Zjištění připojených zařízení

   # fdisk -l
   Disk /dev/sda: 80.0 GB, 80000000000 bytes
   255 heads, 63 sectors/track, 9726 cylinders
   Units = cylinders of 16065 * 512 = 8225280 bytes
   Sector size (logical/physical): 512 bytes / 512 bytes
   I/O size (minimum/optimal): 512 bytes / 512 bytes`<<BR>>`Disk identifier: 0xc871d419
   Device Boot      Start         End      Blocks   Id  System
   /dev/sda1               1           5       40131   de  Dell Utility
   /dev/sda2   *           6        1280    10241437+   7  HPFS/NTFS
   /dev/sda3            1281        9726    67842495    f  W95 Ext'd (LBA)
   /dev/sda5            1281        1542     2104483+  82  Linux swap / Solaris
   /dev/sda6            1543        7917    51207156   83  Linux
   /dev/sda7            7918        9726    14530761    b  W95 FAT32
   Note: sector size is 4096 (not 512)
   
   Disk /dev/sdb: 3000.6 GB, 3000558944256 bytes
   1 heads, 1 sectors/track, 732558336 cylinders, total 732558336 sectors
   Units = cylinders of 1 * 4096 = 4096 bytes
   Sector size (logical/physical): 4096 bytes / 4096 bytes
   I/O size (minimum/optimal): 4096 bytes / 4096 bytes
   Disk identifier: 0x000246c6
     Device Boot      Start         End      Blocks   Id  System
     /dev/sdb1             257   732558336  2930232320    7  HPFS/NTFS

   • sda* jsou oddíly disku analyzovaného disku
   • sdb1 je vložený disk pro uložení obrazu
6. Připojení (přimountování) disku pro uložení obrazu pomocí příkazů

   # mkdir analyza
   # mount /dev/sdb1 analyza

7. Vlastní vytvoření obrazu

   # dd if=/dev/sda2 bs=8M | gzip -cv9 > analyza/2012-07-20_ZCU_test_desktop_apadrta.dd.gz
   89.3%
   1250+1 records in
   1250+1 records out
   1048723200 bytes (10GB) copied, 743, 89s, 14.1 MB/s
   # 

   • Zde je předpokládáno, že cílem zájmu je pouze logický oddíl 2
8. Odpojení disku

   # umount analyza

9. Vypnutí počítače

   # shutdown -h now

10. Nyní je na vloženém disku uložen obraz disku původního