Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-15 09:27:32 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md

6.1 KiB
Raw Blame History

Görüntü Edinme ve Bağlama

Sıfırdan kahraman olmaya kadar AWS hackleme öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

{% embed url="https://websec.nl/" %}

Edinme

DD

#This will generate a raw copy of the disk
dd if=/dev/sdb of=disk.img

dcfldd

#Raw copy with hashes along the way (more secur as it checks hashes while it's copying the data)
dcfldd if=<subject device> of=<image file> bs=512 hash=<algorithm> hashwindow=<chunk size> hashlog=<hash file>
dcfldd if=/dev/sdc of=/media/usb/pc.image hash=sha256 hashwindow=1M hashlog=/media/usb/pc.hashes

FTK Imager

FTK imajını buradan indirebilirsiniz.

ftkimager /dev/sdb evidence --e01 --case-number 1 --evidence-number 1 --description 'A description' --examiner 'Your name'

EWF

ewf araçları kullanarak bir disk imajı oluşturabilirsiniz.

ewfacquire /dev/sdb
#Name: evidence
#Case number: 1
#Description: A description for the case
#Evidence number: 1
#Examiner Name: Your name
#Media type: fixed
#Media characteristics: physical
#File format: encase6
#Compression method: deflate
#Compression level: fast

#Then use default values
#It will generate the disk image in the current directory

Mount

Çeşitli türler

Windows üzerinde, forensik imajı bağlamak için ücretsiz Arsenal Image Mounter'ın (https://arsenalrecon.com/downloads/) ücretsiz sürümünü kullanabilirsiniz.

Raw

#Get file type
file evidence.img
evidence.img: Linux rev 1.0 ext4 filesystem data, UUID=1031571c-f398-4bfb-a414-b82b280cf299 (extents) (64bit) (large files) (huge files)

#Mount it
mount evidence.img /mnt

EWF

EWF

#Get file type
file evidence.E01
evidence.E01: EWF/Expert Witness/EnCase image file format

#Transform to raw
mkdir output
ewfmount evidence.E01 output/
file output/ewf1
output/ewf1: Linux rev 1.0 ext4 filesystem data, UUID=05acca66-d042-4ab2-9e9c-be813be09b24 (needs journal recovery) (extents) (64bit) (large files) (huge files)

#Mount
mount output/ewf1 -o ro,norecovery /mnt

ArsenalImageMounter

Windows Uygulamasıdır. Birimleri bağlamak için kullanılır. İndirebilirsiniz https://arsenalrecon.com/downloads/

Hatalar

  • /dev/loop0 salt okunur olarak bağlanamaz bu durumda -o ro,norecovery bayraklarını kullanmanız gerekmektedir.
  • yanlış fs türü, kötü seçenek, /dev/loop0 üzerinde kötü süper blok, eksik kod sayfası veya yardımcı program, veya diğer hata. bu durumda bağlantı, dosya sisteminin ofsetinin disk görüntüsünden farklı olmasından dolayı başarısız olmuştur. Sektör boyutunu ve Başlangıç sektörünü bulmanız gerekmektedir:
fdisk -l disk.img
Disk disk.img: 102 MiB, 106954648 bytes, 208896 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00495395

Device        Boot Start    End Sectors  Size Id Type
disk.img1       2048 208895  206848  101M  1 FAT12

Sector boyutunun 512 ve başlangıcın 2048 olduğunu unutmayın. Ardından görüntüyü şu şekilde bağlayın:

mount disk.img /mnt -o ro,offset=$((2048*512))

{% embed url="https://websec.nl/" %}

Sıfırdan kahraman olmaya kadar AWS hackleme öğrenin htARTE (HackTricks AWS Red Team Expert)!