Toto je starší verze dokumentu!
Na této stránce naleznete návod na vytvoření obrazu disku pro následnou analýzu. Správně vytvořený obraz disku je nutná podmínka pro kvalitní analýzu, zejména je nutné zajistit, aby s daty na disku nebylo během vytváření obrazu nijak manipulováno a nedošlo tak k přepsání důležitých digitálních stop. Možnosti se liší podle dostupného vybavení.
V první řadě je třeba zjistit, zda je k dispozici další (separátní) PC, ke kterému bude připojeno médium z podezřelého počítače, nebo bude nutné použít přímo podezřelý počítač ke kopírování dat na externí médium (pevný disk, USB klíčenka).
reg add "HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies" /v “WriteProtect” /t REG_DWORD /d 1 /f
Následující návod byl sepsán pro distribuci Knoppix 7.0.3, ale lze přepodkládat, že bude téměř totožný i pro jiné distribuce.
boot
) napišteknoppix 2
a stiskněte enter.
fdisk -l
/dev/sdXY
(v případě raritního HW/SW pak /dev/hdXY
)X
zastupuje písmeno, počínaje a
, a každé písmeno odpovídá jednomu fyzickému zařízení)Y
zastupuje číslici, počínaje 1
, a každá číslice odpovídá logickému oddíluX
disku k analýze se bude lišit od X
cílového disku k uložení obrazu.mkdir analyza mount /dev/sdXY analyza
kde /dev/sdXY
je oddíl na disku, na který bude obraz ukládán.
dd
a gzip
/dev/sdXY
a gzipem zabalený uložen do adresáře analyza
dd if=/dev/sdXY bs=8M | gzip -cv9 > analyza/<date>_<organization>_<incident_description>_<machine_type>_<customer>.dd.gz
<date>
- datum ve formátu yyyy-mm-dd (např. 2012-04-15)<organization>
- organizace vlastnící podezřelé PC (např. ZCU)<machine_type>
- typ stroje (např. server/workstation/tablet/phone)<customer>
- zadavatel (např. knykles)<tablestyle=„tablewidth:100%; width:100%“ style=„background-color: #CCFFCC;“:>'Praktický příklad ': Získání obrazu disku pomocí Knoppix Live CD |
Následující postup je založen na volně použitelném nástroji 'FTK imager
'.
'File > Create Disk Image
'.'Physical drive
' a 'Next
'.'Finish
'.'ADD
' a zvolte typ 'Raw (dd)(1:1)
' nebo 'E01
' (podporuje kompresi).'Finish
' a zvolte 'Start
'<tablestyle=„tablewidth:100%; width:100%“ style=„background-color: #CCFFCC;“:>'Praktický příklad ': Získání obrazu disku pomocí nástroje FTK Imager |
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz