数字取证中的磁盘镜像管理与操作
1. 磁盘镜像的分割与访问
1.1 磁盘镜像分割情况
磁盘以最大片段大小设置为 20GB 进行获取,格式为 SMART 压缩镜像,同时会有包含元数据的 *.txt 文件。例如:
# ls -l total 53771524 -rw-r----- 1 holmes root 2147442006 Jul 2 08:01 image.s01 -rw-r----- 1 holmes root 1038 Jul 2 08:43 image.s01.txt -rw-r----- 1 holmes root 2147412323 Jul 2 08:01 image.s02 -rw-r----- 1 holmes root 2147423595 Jul 2 08:02 image.s03 -rw-r----- 1 holmes root 2147420805 Jul 2 08:02 image.s04 ...1.2 访问分割镜像文件
一些取证工具(如 Sleuth Kit)支持直接操作分割镜像集,无需先重新组装。可以使用-i list标志列出 Sleuth Kit 支持的镜像格式:
$ mmls -i list Supported image format types: raw (Single raw file (dd)) aff (Advanced Forensic Format) afd (AFF Multiple File
