如何在 Linux 電腦上獲取磁碟映像？

關於電腦取證，如果嫌疑人的電腦（無法從現場移除）是Linux，是否可以直接在其電腦上使用dd或dcfldd等工具獲取磁碟映像？或者您是否需要在現有作業系統之上使用 Helix、Penguin sleuth 或 FFCU 等取證現場 CD？

在執行類似的命令時

# dd if=/dev/sda of=/path/to/external/medium/file.img

在實時系統上工作，它會導致許多問題，如果您啟動到單獨的作業系統並從那裡製作圖像，您將不會遇到這些問題：

1. 如果您對整個磁碟進行映像，它可能包含一個引導載入程序和一個分區表。當您嘗試對圖像進行取證/恢復時，這些會妨礙您。

您真正想要的是獨立映像每個文件系統：

# dd if=/dev/sda1 of=/path/to/external/medium/filesystem1.img
# dd if=/dev/sda2 of=/path/to/external/medium/filesystem2.img
...etc...

這樣做可以使掛載文件系統變得微不足道：

# mount -oloop,ro filesystem1.img /mnt/fs1

（我將mountdone 顯示為 root，因為在某些 Linux 上，循環設備被鎖定，因此普通使用者無法使用它們。） 2. 您正在對已掛載的實時文件系統進行快照，因此當您稍後掛載它們時，實際上與重新啟動機器沒有什麼不同。隔板將是“臟的”，這會使安裝它們而不會對它們進行法醫損壞變得困難。 3. 您正在使用可疑機器的dd(1). 如果有人試圖向您隱瞞某些事情，他們可能會提供偷偷摸摸或惡意的dd(1).

現在，說了這麼多，有一些很好的理由進行線上複製。最好的原因是系統正在使用某種形式的文件系統或全盤加密，並且重新啟動它會擦除已安裝卷的解密密鑰。

dd然而，這不是這項工作的正確工具，因為這只會讓您獲得一份靜態加密數據的副本。定期備份是一個更好的主意。例如，

# tar -cvJf --exclude={'/proc/*','/sys/*','/tmp/*'} \
 /path/to/external/medium/everything.tar.xz /

這不會發現隱藏分區等，但至少它會強制作業系統解密從文件系統的根目錄直接訪問的每個文件。

引用自：https://unix.stackexchange.com/questions/154555