超级会员免费看
数字取证成像:从基础到实践
1. 数据提取基础
在数字取证过程中,数据提取是关键环节。常见的数据提取包括对分区、未分配块以及空闲空间的提取。下面详细介绍这些操作。
1.1 分区信息
分区信息对于理解磁盘结构至关重要。以下是一些分区的相关信息:
| Slot | Start | End | Length | Description |
| ---- | ---- | ---- | ---- | ---- |
| 04: | 00 | 0000002048 | 0002050047 | 0002048000 |
| 05: | 01 | 0002050048 | 0002582527 | 0000532480 | EFI system partition |
| 06: | 02 | 0002582528 | 0003606527 | 0001024000 | … |
| 08: | 04 | 0003868672 | 1902323711 | 1898455040 | Basic data partition |
1.2 空闲空间提取
空闲空间是文件系统中已分配块和扇区内未使用的区域,与未分配块或扇区不同。使用 blkls 命令的 -s 标志可以提取每个已识别文件系统的空闲空间,并将其保存到文件中。示例命令如下:
# blkls -o 2048 -s lenovo.raw > slack.04
# blkls -o 2050048 -
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
