DFIR - 镜像工具
|
本文正在考虑删除! 理由 这不是一个应用程序页面,仅链接到几个网页。对于 openSUSE 用户有什么好处? 请勿清空、合并或移动此文章,或删除此通知。请参阅此文章的页面和我们的删除策略以获取更多信息。 |
以上图像的描述
openSUSE 下载
厂商: ApplicationVendor
开发者: ApplicationProject
许可证: License
网站: http://application.org
关于
有多种取证镜像工具。从高层来看,它们提供的功能与“dd if=/dev/sda of=image_file”的概念类似。
dd 本身可以通过将其封装在脚本中来使用。本文讨论了其他可用的工具。
特性
- 被计算机取证和事件响应专业人员使用,但对于普通用户来说,也可用作克隆工具
- 支持多种输出格式,包括原始格式 (dd)、EnCase 4,5,6、AFF 等。
- 通常可用 md5 哈希验证,以及其他验证方式
- 许多工具会要求元信息,例如驱动器制造商、序列号等。
- 当用于证据时,它可以记录相关的保管链信息和保管人信息。
Imaging Tools
| Tool | 11.4 | 12.1 | 12.2 | factory | other | comment | 通用说明 |
| adepto | N/A | N/A | N/A | N/A | N/A | adepto 包含在 helix boot cd 中 | |
| N/A | N/A | N/A | N/A | security/3.2.5 | 一个用于创建 aff 格式镜像的工具 | aimage 已经停止维护。建议使用 guymager 或 ftkimager (windows/mac) 来创建 aff 镜像。 | |
| N/A | N/A | N/A | N/A | N/A | 自动镜像和恢复 | 一个用于 dd 和 dc3dd 的 GUI 前端,旨在轻松创建取证位镜像 | |
| N/A | N/A | v7.1.614 | v7.1.614 | security/7.1.614 | 美国国防部网络犯罪中心 DD | 该工具以前被称为 dcfldd。当发布为 dc3dd 时,它被完全重写。 | |
| v1.14 | v1.14 | v1.15 | v1.16 | 基础:系统 | 也称为 GNU ddrescue | 该工具与 dd_rescue 不同。 | |
| v1.23 | v1.24 | v1.28 | v1.28 | 基础:系统 | 该工具与 ddrescue 不同。 | ||
| N/A | N/A | v20100226 | v20120813 | security | 一个用于创建 ewf 格式镜像的工具 | ewfacquire 是某些发行版中 ewftools 的一部分。 | |
| N/A | N/A | N/A | N/A | N/A | 仅限执法部门使用的镜像工具 | 与 ILook Investigator 结合使用 | |
| N/A | N/A | N/A | N/A | N/A | 一个用于创建 ewf 格式镜像的专有镜像工具 | 包含在 Helix boot CD 中 | |
| N/A | N/A | N/A | N/A | N/A | 一个用于创建 aff 格式镜像的工具 | Guymager 是一个开源取证镜像工具。它侧重于用户友好性和高速度。 | |
| rdd | N/A | N/A | N/A | N/A | N/A | 一个类似于 dd 的工具,具有取证镜像功能 | Rdd 在读取错误方面具有鲁棒性 |
| sdd | N/A | N/A | N/A | N/A | 归档:备份/1.52 | 一个类似于 dd 的工具 | 设计用于在 IBS != OBS 时工作良好。使用磁带是一个例子。 |
外部链接
对于 fedora 和 ubuntu,您可以在以下位置找到有关可用工具的摘要信息
: