伙计们,我想克隆一个 USB 以用于法医分析。
我想了解:
这是我的主要问题:如果我尝试使用以下方法克隆 USB(带有 fat32 分区),并且 USB 已安装,我是否会丢失重要数据?
dd??我应该使用
dd或者可以使用其他更好的实用程序?
- 如果分区有例如, 请参见以下结构:
- mmcblk1(整个分区)
- mmcblk1p1(fat32 分区)
- mmcblk1(整个分区)
克隆的最佳方法是什么?整体与mmcblk1或者mmcblk1p1?
谢谢
答案1
一般情况下,卸载要克隆的所有分区。理论上如果已安装,则不会发生任何事情,除非您写入分区,或者您可以以只读方式安装它,如果它根本没有安装,您不必担心。而且您想要分析的事件之后的任何写入都是错误的。
如果您只想分析 FAT32 分区,克隆就足够了mmcblk1p1。如果您怀疑有趣的数据隐藏在分区外的某个地方,最好mmcblk1完全克隆。有疑问,mmcblk1完全克隆:对于取证分析来说,安全总比后悔好,而且没有那么多额外的数据。
用就好dd了。
顺便说一句,mmcblk设备通常是嵌入式系统上的 SD 卡或闪存,与 USB 无关。