Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Poslední revize Obě strany příští revize | ||
|
cs:navody:disk-image [14.11.2014 18:12] apadrta@cesnet.cz [Vytvoření obrazu na separátním PC ...] |
cs:navody:disk-image [14.11.2014 18:52] apadrta@cesnet.cz [Návod pro Linux] |
||
|---|---|---|---|
| Řádek 63: | Řádek 63: | ||
| * Některé grafické režimy mají automatické mountování zařízení, kterému se chceme vyhnout | * Některé grafické režimy mají automatické mountování zařízení, kterému se chceme vyhnout | ||
| * Nemountujte připojený disk, ze kterého bude dělán obraz, ani ručně | * Nemountujte připojený disk, ze kterého bude dělán obraz, ani ručně | ||
| - | * Po zobrazení úvodní obrazovky (vlevo dole bude nápis `boot` napište | + | * Po zobrazení úvodní obrazovky (vlevo dole bude nápis ''boot'') napište\\ <code>knoppix 2</code> a stiskněte enter. |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`knoppix 2`|| | + | |
| - | a stiskněte enter. | + | |
| - **Lokalizujte disk(y) podezřelého PC** | - **Lokalizujte disk(y) podezřelého PC** | ||
| - | * Vypište disky v PC | + | * Vypište disky v PC <code>fdisk -l</code> |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`fdisk -l`|| | + | * Bude se jednat nejspíš o ''/dev/sdXY'' (v případě raritního HW/SW pak ''/dev/hdXY'') |
| - | * Bude se jednat nejspíš o `/dev/sdXY` (v případě raritního HW/SW pak`/dev/hdXY`) | + | |
| * ''X'' zastupuje písmeno, počínaje ''a'', a každé písmeno odpovídá jednomu fyzickému zařízení) | * ''X'' zastupuje písmeno, počínaje ''a'', a každé písmeno odpovídá jednomu fyzickému zařízení) | ||
| * ''Y'' zastupuje číslici, počínaje ''1'', a každá číslice odpovídá logickému oddílu | * ''Y'' zastupuje číslici, počínaje ''1'', a každá číslice odpovídá logickému oddílu | ||
| * Pro každý disk `/dev/sdX` je vypsána jeho velikost a oddíly | * Pro každý disk `/dev/sdX` je vypsána jeho velikost a oddíly | ||
| * Podle velikosti a rozdělení disku je tak možné identifikovat konkrétní připojený disk z analyzovaného PC | * Podle velikosti a rozdělení disku je tak možné identifikovat konkrétní připojený disk z analyzovaného PC | ||
| - | |||
| - **Připojte disk, na který bude obraz ukládán** | - **Připojte disk, na který bude obraz ukládán** | ||
| * Po identifikaci disku k analýze je třeba rozhodnout kam bude obraz disku uložen. | * Po identifikaci disku k analýze je třeba rozhodnout kam bude obraz disku uložen. | ||
| * Při tvorbě obrazu na separátním počítači lze použít libovolný disk separátního počítače s dostatečnou kapacitou nebo externí disk | * Při tvorbě obrazu na separátním počítači lze použít libovolný disk separátního počítače s dostatečnou kapacitou nebo externí disk | ||
| * Při analýze na podezřelém počítačí je třeba dodat další disk (ať už interní nebo externí), data by nikdy neměla být ukládána na disk normálně v PC přítomný. | * Při analýze na podezřelém počítačí je třeba dodat další disk (ať už interní nebo externí), data by nikdy neměla být ukládána na disk normálně v PC přítomný. | ||
| - | * Každopádně ''X'' disku k analýze se bude lišit od ''X'' cílového disku k uložení obrazu | + | * Každopádně ''X'' disku k analýze se bude lišit od ''X'' cílového disku k uložení obrazu. |
| - | * Připojte cílový disk | + | * Připojte cílový disk <code>mkdir analyza |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`mkdir analyza` <<BR>> `mount /dev/sdXY analyza` || | + | mount /dev/sdXY analyza</code> kde ''/dev/sdXY'' je oddíl na disku, na který bude obraz ukládán. |
| - | kde `/dev/sdXY` je oddíl na disku kam budeme obraz ukládat | + | - **Vytvořte obraz disku pomocí nástrojů ''dd'' a ''gzip''** |
| - | + | * Následujícím příkazem bude vytvořen obraz disku ''/dev/sdXY'' a gzipem zabalený uložen do adresáře ''analyza'' <code>dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/<date>_<organization>_<incident_description>_<machine_type>_<customer>.dd.gz</code> | |
| - | - **Vytvořte obraz disku pomocí nástrojů `dd` a `gzip`** | + | |
| - | * Následujícím příkazem bude vytvořen obraz disku `/dev/sdXY` a gzipem zabalený uložen do adresáře `analyza`. | + | |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCCCCC">`dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/<date>_<organization>_<incident_description>_<machine_type>_<customer>.dd.gz`|| | + | |
| * ''<date>'' - datum ve formátu yyyy-mm-dd (např. 2012-04-15) | * ''<date>'' - datum ve formátu yyyy-mm-dd (např. 2012-04-15) | ||
| * ''<organization>'' - organizace vlastnící podezřelé PC (např. ZCU) | * ''<organization>'' - organizace vlastnící podezřelé PC (např. ZCU) | ||
| Řádek 94: | Řádek 86: | ||
| * Nyní počkejte na dokončení příkazu, což může trvat i několik (desítek) hodin, v závislosti na velikosti disku. | * Nyní počkejte na dokončení příkazu, což může trvat i několik (desítek) hodin, v závislosti na velikosti disku. | ||
| - **Doručte vytvořený obraz do forenzní laboratoře** | - **Doručte vytvořený obraz do forenzní laboratoře** | ||
| - | * Postupujte dle [[FLAB#Jakp.2BAVk-edatincidentdoFLAB.3F|příslušného návodu]] | + | * Postupujte v dle [[cs:navody:postup-analyza#|návodu na zadání analýzy forenzní laboratoři]]. |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCFFCC;":>'''Praktický příklad''': [[FLAB/Návody/Příklad - Obraz disku získaný pomocí Knoppixu|Získání obrazu disku pomocí Knoppix Live CD]]|| | + | |'''Praktický příklad''': [[cs:navody:disk-image:priklad-live-knoppix|Získání obrazu disku pomocí Knoppix Live CD]]| |
| ==== Návod pro Windows ==== | ==== Návod pro Windows ==== | ||
| - | Následující postup je založen na volně použitelném nástroji '''FTK imager'''. | + | Následující postup je založen na volně použitelném nástroji **FTK imager**. |
| - **Stáhněte si nástroj FTK imager** | - **Stáhněte si nástroj FTK imager** | ||
| * Odkaz ke stažení - [[http://accessdata.com/support/adownloads]] | * Odkaz ke stažení - [[http://accessdata.com/support/adownloads]] | ||
| - **Vytvořte obraz disku** | - **Vytvořte obraz disku** | ||
| - | - Spusťte FTK Imager, zvolte '''File > Create Disk Image'''. | + | - Spusťte FTK Imager, zvolte **File > Create Disk Image**. |
| - | - Zvolte '''Physical drive''' a '''Next'''. | + | - Zvolte **Physical drive** a **Next**. |
| - V rolovacím menu zvolte který disk má být zkopírován do obrazu. | - V rolovacím menu zvolte který disk má být zkopírován do obrazu. | ||
| - | - Vyberte '''Finish'''. | + | - Vyberte **Finish**. |
| - | - V dalším okně pak klikněte na '''ADD''' a zvolte typ '''Raw (dd)(1:1)''' nebo '''E01''' (podporuje kompresi). | + | - V dalším okně pak klikněte na **ADD** a zvolte typ **Raw (dd)(1:1)** nebo **E01** (podporuje kompresi). |
| - Dále přidejte vhodné popisky. | - Dále přidejte vhodné popisky. | ||
| - Vyberte umístění, do kterého bude obraz uložen. | - Vyberte umístění, do kterého bude obraz uložen. | ||
| Řádek 114: | Řádek 106: | ||
| - Vyberte fragmentaci obrazu, v závislosti na možnostech vašeho souborového systému. | - Vyberte fragmentaci obrazu, v závislosti na možnostech vašeho souborového systému. | ||
| - Zvolte úroveň komprese - čím vyšší, tím déle bude operace trvat, ale obza bude menší. | - Zvolte úroveň komprese - čím vyšší, tím déle bude operace trvat, ale obza bude menší. | ||
| - | - Potvrďte '''Finish''' a zvolte '''Start''' | + | - Potvrďte **Finish** a zvolte **Start**. |
| - | - Počkejte dokud operace neskončí, může to trvat až několik (desítek) hodin v závislosti na způsobu připojení disku, úrovni komprese a rychlosti PC/disku | + | - Počkejte dokud operace neskončí, může to trvat až několik (desítek) hodin v závislosti na způsobu připojení disku, úrovni komprese a rychlosti PC/disku. |
| - **Doručte vytvořený obraz do forenzní laboratoře** | - **Doručte vytvořený obraz do forenzní laboratoře** | ||
| - | - Postupujte dle [[FLAB#Jakp.2BAVk-edatincidentdoFLAB.3F|příslušného návodu]] | + | - Postupujte v dle [[cs:navody:postup-analyza#|návodu na zadání analýzy forenzní laboratoři]]. |
| - | ||<tablestyle="tablewidth:100%; width:100%" style="background-color: #CCFFCC;":>'''Praktický příklad''': [[FLAB/Návody/Příklad - Obraz disku získaný pomocí FTK Imageru|Získání obrazu disku pomocí nástroje FTK Imager]]|| | + | | **Praktický příklad**: [[cs:navody:disk-image:priklad-ftk-imager|Získání obrazu disku pomocí nástroje FTK Imager]] | |
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz