我有来自单个驱动器的多个 dd 映像。其中一个是交换区。除了交换区映像外,我在 Ubuntu 中挂载了所有映像,一切顺利。dd 映像的分解方式如下:hda8 是 /,hda1 是 /boot,hda6 是 /home,hda5 是 /usr,hda7 是 /var,hda9 是交换区。
我使用的命令是:sudo mount -o loop,ro hda1.dd /mnt/Linux
我按照上面列出的顺序安装了每个图像,以便它们全部显示为单个驱动器。
当我尝试安装交换映像时,它失败并显示错误:dev/loop5 看起来像交换空间 - 未安装。您必须指定文件系统类型。
有什么建议么?
答案1
交换空间不包含文件系统,因此未挂载。挂载文件系统意味着使文件和目录结构可见,以便您可以浏览和操作文件。但交换空间不包含文件,其数据的组织方式更像内存中的页面,换句话说,操作系统/内存管理系统知道原始数据,但“挂载”命令不知道。
答案2
对于 Linux 交换取证,您可以对设备本身进行操作,而无需挂载它。您应该看看交换挖掘机 这将转储所有交换字符串并尝试在其中找到明文密码和其他数据。
答案3
您可以使用swapon hda9.dd
http://man7.org/linux/man-pages/man8/swapon.8.html
使用这种方法,交换文件中的最终数据残留可能会被系统覆盖,因此如果目的是检查交换内容,则应避免这种方法并使用十六进制编辑器或其他取证工具查看内容。