Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze | Následující verze Obě strany příští revize | ||
cs:navody:disk-image [14.11.2014 18:12] apadrta@cesnet.cz [Vytvoření obrazu na separátním PC ...] |
cs:navody:disk-image [14.11.2014 18:29] apadrta@cesnet.cz [Návod pro Linux] |
||
---|---|---|---|
Řádek 63: | Řádek 63: | ||
* Některé grafické režimy mají automatické mountování zařízení, kterému se chceme vyhnout | * Některé grafické režimy mají automatické mountování zařízení, kterému se chceme vyhnout | ||
* Nemountujte připojený disk, ze kterého bude dělán obraz, ani ručně | * Nemountujte připojený disk, ze kterého bude dělán obraz, ani ručně | ||
- | * Po zobrazení úvodní obrazovky (vlevo dole bude nápis `boot` napište | + | * Po zobrazení úvodní obrazovky (vlevo dole bude nápis ''boot'') napište\\ <code>knoppix 2</code> a stiskněte enter. |
- | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`knoppix 2`|| | + | |
- | a stiskněte enter. | + | |
- **Lokalizujte disk(y) podezřelého PC** | - **Lokalizujte disk(y) podezřelého PC** | ||
- | * Vypište disky v PC | + | * Vypište disky v PC <code>fdisk -l</code> |
- | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`fdisk -l`|| | + | * Bude se jednat nejspíš o ''/dev/sdXY'' (v případě raritního HW/SW pak ''/dev/hdXY'') |
- | * Bude se jednat nejspíš o `/dev/sdXY` (v případě raritního HW/SW pak`/dev/hdXY`) | + | |
* ''X'' zastupuje písmeno, počínaje ''a'', a každé písmeno odpovídá jednomu fyzickému zařízení) | * ''X'' zastupuje písmeno, počínaje ''a'', a každé písmeno odpovídá jednomu fyzickému zařízení) | ||
* ''Y'' zastupuje číslici, počínaje ''1'', a každá číslice odpovídá logickému oddílu | * ''Y'' zastupuje číslici, počínaje ''1'', a každá číslice odpovídá logickému oddílu | ||
* Pro každý disk `/dev/sdX` je vypsána jeho velikost a oddíly | * Pro každý disk `/dev/sdX` je vypsána jeho velikost a oddíly | ||
* Podle velikosti a rozdělení disku je tak možné identifikovat konkrétní připojený disk z analyzovaného PC | * Podle velikosti a rozdělení disku je tak možné identifikovat konkrétní připojený disk z analyzovaného PC | ||
- | |||
- **Připojte disk, na který bude obraz ukládán** | - **Připojte disk, na který bude obraz ukládán** | ||
* Po identifikaci disku k analýze je třeba rozhodnout kam bude obraz disku uložen. | * Po identifikaci disku k analýze je třeba rozhodnout kam bude obraz disku uložen. | ||
* Při tvorbě obrazu na separátním počítači lze použít libovolný disk separátního počítače s dostatečnou kapacitou nebo externí disk | * Při tvorbě obrazu na separátním počítači lze použít libovolný disk separátního počítače s dostatečnou kapacitou nebo externí disk | ||
* Při analýze na podezřelém počítačí je třeba dodat další disk (ať už interní nebo externí), data by nikdy neměla být ukládána na disk normálně v PC přítomný. | * Při analýze na podezřelém počítačí je třeba dodat další disk (ať už interní nebo externí), data by nikdy neměla být ukládána na disk normálně v PC přítomný. | ||
- | * Každopádně ''X'' disku k analýze se bude lišit od ''X'' cílového disku k uložení obrazu | + | * Každopádně ''X'' disku k analýze se bude lišit od ''X'' cílového disku k uložení obrazu. |
- | * Připojte cílový disk | + | * Připojte cílový disk <code>mkdir analyza |
- | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`mkdir analyza` <<BR>> `mount /dev/sdXY analyza` || | + | mount /dev/sdXY analyza</code> kde ''/dev/sdXY'' je oddíl na disku, na který bude obraz ukládán. |
- | kde `/dev/sdXY` je oddíl na disku kam budeme obraz ukládat | + | - **Vytvořte obraz disku pomocí nástrojů ''dd'' a ''gzip''** |
- | + | * Následujícím příkazem bude vytvořen obraz disku ''/dev/sdXY'' a gzipem zabalený uložen do adresáře ''analyza'' <code>dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/<date>_<organization>_<incident_description>_<machine_type>_<customer>.dd.gz</code> | |
- | - **Vytvořte obraz disku pomocí nástrojů `dd` a `gzip`** | + | |
- | * Následujícím příkazem bude vytvořen obraz disku `/dev/sdXY` a gzipem zabalený uložen do adresáře `analyza`. | + | |
- | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/<date>_<organization>_<incident_description>_<machine_type>_<customer>.dd.gz`|| | + | |
* ''<date>'' - datum ve formátu yyyy-mm-dd (např. 2012-04-15) | * ''<date>'' - datum ve formátu yyyy-mm-dd (např. 2012-04-15) | ||
* ''<organization>'' - organizace vlastnící podezřelé PC (např. ZCU) | * ''<organization>'' - organizace vlastnící podezřelé PC (např. ZCU) | ||
Řádek 94: | Řádek 86: | ||
* Nyní počkejte na dokončení příkazu, což může trvat i několik (desítek) hodin, v závislosti na velikosti disku. | * Nyní počkejte na dokončení příkazu, což může trvat i několik (desítek) hodin, v závislosti na velikosti disku. | ||
- **Doručte vytvořený obraz do forenzní laboratoře** | - **Doručte vytvořený obraz do forenzní laboratoře** | ||
- | * Postupujte dle [[FLAB#Jakp.2BAVk-edatincidentdoFLAB.3F|příslušného návodu]] | + | * Postupujte v dle [[cs:navody:postup-analyza#|návodu na zadání analýzy forenzní laboratoři]]. |
||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCFFCC;":>'''Praktický příklad''': [[FLAB/Návody/Příklad - Obraz disku získaný pomocí Knoppixu|Získání obrazu disku pomocí Knoppix Live CD]]|| | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCFFCC;":>'''Praktický příklad''': [[FLAB/Návody/Příklad - Obraz disku získaný pomocí Knoppixu|Získání obrazu disku pomocí Knoppix Live CD]]|| |