mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 05:03:35 +00:00
5.6 KiB
5.6 KiB
图像获取与挂载
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
- 您在网络安全公司工作吗? 想要在HackTricks中看到您的公司广告? 或者想要访问PEASS的最新版本或下载HackTricks的PDF? 请查看订阅计划!
- 发现我们的独家NFT收藏品The PEASS Family
- 获取官方PEASS和HackTricks周边
- 加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。
{% embed url="https://websec.nl/" %}
获取
DD
#This will generate a raw copy of the disk
dd if=/dev/sdb of=disk.img
dcfldd
dcfldd
#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes
FTK Imager
您可以从这里下载FTK Imager。
ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --description 'A description' --examiner 'Your name'
EWF
您可以使用ewf工具生成磁盘映像。
ewfacquire /dev/sdb
#Name: evidence
#Case number: 1
#Description: A description for the case
#Evidence number: 1
#Examiner Name: Your name
#Media type: fixed
#Media characteristics: physical
#File format: encase6
#Compression method: deflate
#Compression level: fast
#Then use default values
#It will generate the disk image in the current directory
挂载
几种类型
在Windows中,您可以尝试使用Arsenal Image Mounter的免费版本(https://arsenalrecon.com/downloads/)来挂载取证镜像。
Raw
#Get file type
file evidence.img
evidence.img: Linux rev 1.0 ext4 filesystem data, UUID=1031571c-f398-4bfb-a414-b82b280cf299 (extents) (64bit) (large files) (huge files)
#Mount it
mount evidence.img /mnt
EWF
EWF
#Get file type
file evidence.E01
evidence.E01: EWF/Expert Witness/EnCase image file format
#Transform to raw
mkdir output
ewfmount evidence.E01 output/
file output/ewf1
output/ewf1: Linux rev 1.0 ext4 filesystem data, UUID=05acca66-d042-4ab2-9e9c-be813be09b24 (needs journal recovery) (extents) (64bit) (large files) (huge files)
#Mount
mount output/ewf1 -o ro,norecovery /mnt
ArsenalImageMounter
这是一个用于挂载卷的Windows应用程序。您可以在这里下载它 https://arsenalrecon.com/downloads/
错误
无法以只读方式挂载 /dev/loop0
在这种情况下,您需要使用标志-o ro,norecovery
错误的文件系统类型,错误的选项,/dev/loop0 上的错误的超级块,缺少代码页或辅助程序,或其他错误。
在这种情况下,挂载失败是因为文件系统的偏移量与磁盘映像的偏移量不同。您需要找到扇区大小和起始扇区:
fdisk -l disk.img
Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00495395
Device Boot Start End Sectors Size Id Type
disk.img1 2048 208895 206848 101M 1 FAT12
注意,扇区大小为512,起始位置为2048。然后按照以下方式挂载镜像:
mount disk.img /mnt -o ro,offset=$((2048*512))
{% embed url="https://websec.nl/" %}
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
- 你在网络安全公司工作吗?想要在HackTricks中宣传你的公司?或者想要获取PEASS的最新版本或下载HackTricks的PDF?查看订阅计划!
- 探索PEASS家族,我们的独家NFT收藏品
- 获取官方PEASS和HackTricks周边
- 加入 💬 Discord群 或 电报群 或在Twitter上关注我 🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。