Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze | Následující verze Obě strany příští revize | ||
|
cs:navody:disk-image [14.11.2014 18:12] apadrta@cesnet.cz [Vytvoření obrazu na separátním PC ...] |
cs:navody:disk-image [14.11.2014 18:29] apadrta@cesnet.cz [Návod pro Linux] |
||
|---|---|---|---|
| Řádek 63: | Řádek 63: | ||
| * Některé grafické režimy mají automatické mountování zařízení, kterému se chceme vyhnout | * Některé grafické režimy mají automatické mountování zařízení, kterému se chceme vyhnout | ||
| * Nemountujte připojený disk, ze kterého bude dělán obraz, ani ručně | * Nemountujte připojený disk, ze kterého bude dělán obraz, ani ručně | ||
| - | * Po zobrazení úvodní obrazovky (vlevo dole bude nápis `boot` napište | + | * Po zobrazení úvodní obrazovky (vlevo dole bude nápis ''boot'') napište\\ <code>knoppix 2</code> a stiskněte enter. |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`knoppix 2`|| | + | |
| - | a stiskněte enter. | + | |
| - **Lokalizujte disk(y) podezřelého PC** | - **Lokalizujte disk(y) podezřelého PC** | ||
| - | * Vypište disky v PC | + | * Vypište disky v PC <code>fdisk -l</code> |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`fdisk -l`|| | + | * Bude se jednat nejspíš o ''/dev/sdXY'' (v případě raritního HW/SW pak ''/dev/hdXY'') |
| - | * Bude se jednat nejspíš o `/dev/sdXY` (v případě raritního HW/SW pak`/dev/hdXY`) | + | |
| * ''X'' zastupuje písmeno, počínaje ''a'', a každé písmeno odpovídá jednomu fyzickému zařízení) | * ''X'' zastupuje písmeno, počínaje ''a'', a každé písmeno odpovídá jednomu fyzickému zařízení) | ||
| * ''Y'' zastupuje číslici, počínaje ''1'', a každá číslice odpovídá logickému oddílu | * ''Y'' zastupuje číslici, počínaje ''1'', a každá číslice odpovídá logickému oddílu | ||
| * Pro každý disk `/dev/sdX` je vypsána jeho velikost a oddíly | * Pro každý disk `/dev/sdX` je vypsána jeho velikost a oddíly | ||
| * Podle velikosti a rozdělení disku je tak možné identifikovat konkrétní připojený disk z analyzovaného PC | * Podle velikosti a rozdělení disku je tak možné identifikovat konkrétní připojený disk z analyzovaného PC | ||
| - | |||
| - **Připojte disk, na který bude obraz ukládán** | - **Připojte disk, na který bude obraz ukládán** | ||
| * Po identifikaci disku k analýze je třeba rozhodnout kam bude obraz disku uložen. | * Po identifikaci disku k analýze je třeba rozhodnout kam bude obraz disku uložen. | ||
| * Při tvorbě obrazu na separátním počítači lze použít libovolný disk separátního počítače s dostatečnou kapacitou nebo externí disk | * Při tvorbě obrazu na separátním počítači lze použít libovolný disk separátního počítače s dostatečnou kapacitou nebo externí disk | ||
| * Při analýze na podezřelém počítačí je třeba dodat další disk (ať už interní nebo externí), data by nikdy neměla být ukládána na disk normálně v PC přítomný. | * Při analýze na podezřelém počítačí je třeba dodat další disk (ať už interní nebo externí), data by nikdy neměla být ukládána na disk normálně v PC přítomný. | ||
| - | * Každopádně ''X'' disku k analýze se bude lišit od ''X'' cílového disku k uložení obrazu | + | * Každopádně ''X'' disku k analýze se bude lišit od ''X'' cílového disku k uložení obrazu. |
| - | * Připojte cílový disk | + | * Připojte cílový disk <code>mkdir analyza |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`mkdir analyza` <<BR>> `mount /dev/sdXY analyza` || | + | mount /dev/sdXY analyza</code> kde ''/dev/sdXY'' je oddíl na disku, na který bude obraz ukládán. |
| - | kde `/dev/sdXY` je oddíl na disku kam budeme obraz ukládat | + | - **Vytvořte obraz disku pomocí nástrojů ''dd'' a ''gzip''** |
| - | + | * Následujícím příkazem bude vytvořen obraz disku ''/dev/sdXY'' a gzipem zabalený uložen do adresáře ''analyza'' <code>dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/<date>_<organization>_<incident_description>_<machine_type>_<customer>.dd.gz</code> | |
| - | - **Vytvořte obraz disku pomocí nástrojů `dd` a `gzip`** | + | |
| - | * Následujícím příkazem bude vytvořen obraz disku `/dev/sdXY` a gzipem zabalený uložen do adresáře `analyza`. | + | |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/<date>_<organization>_<incident_description>_<machine_type>_<customer>.dd.gz`|| | + | |
| * ''<date>'' - datum ve formátu yyyy-mm-dd (např. 2012-04-15) | * ''<date>'' - datum ve formátu yyyy-mm-dd (např. 2012-04-15) | ||
| * ''<organization>'' - organizace vlastnící podezřelé PC (např. ZCU) | * ''<organization>'' - organizace vlastnící podezřelé PC (např. ZCU) | ||
| Řádek 94: | Řádek 86: | ||
| * Nyní počkejte na dokončení příkazu, což může trvat i několik (desítek) hodin, v závislosti na velikosti disku. | * Nyní počkejte na dokončení příkazu, což může trvat i několik (desítek) hodin, v závislosti na velikosti disku. | ||
| - **Doručte vytvořený obraz do forenzní laboratoře** | - **Doručte vytvořený obraz do forenzní laboratoře** | ||
| - | * Postupujte dle [[FLAB#Jakp.2BAVk-edatincidentdoFLAB.3F|příslušného návodu]] | + | * Postupujte v dle [[cs:navody:postup-analyza#|návodu na zadání analýzy forenzní laboratoři]]. |
| ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCFFCC;":>'''Praktický příklad''': [[FLAB/Návody/Příklad - Obraz disku získaný pomocí Knoppixu|Získání obrazu disku pomocí Knoppix Live CD]]|| | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCFFCC;":>'''Praktický příklad''': [[FLAB/Návody/Příklad - Obraz disku získaný pomocí Knoppixu|Získání obrazu disku pomocí Knoppix Live CD]]|| | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz