从不能从犯罪现场移除的Linux计算机上获取磁盘映像有哪些选择？

Question

如果嫌犯的计算机是Linux，你能直接使用他的计算机上的dd或dcfldd这样的工具来获取磁盘映像吗？或者你需要在现有操作系统上使用像Helix、企鹅侦探或FFCU这样的法医直播cds？

Answer 1

只需打开机器就可以更改/销毁数据，这可能是潜在的证据，更不用说启动其原始操作系统了。

最好的解决方案是移除硬盘，通过硬件写拦截器连接到另一台计算机，然后用dd或其他类似设备获取它的完整图像。写阻止程序是必要的，以防止意外写入可能改变潜在证据的设备(虽然没有自动挂载驱动器的基本Linux安装本身不会完成任何写操作，Mac和Windows肯定会这样做)。

如果这不可能的话，那么你需要使用法医现场CD的方式，但是因为它涉及引导计算机，你可能已经触发了一些固件嵌入的代码来改变/销毁潜在的证据(这很难，但并非不可能，这取决于你要找的是什么样的罪犯)。

请注意，最终在计算机上安装什么操作系统并不重要，因为您无论如何都不应该启动该操作系统，而且逐位复制并不关心驱动器上的数据甚至文件系统(您可以复制加密的驱动器，但如果没有密钥，这将不会对您有多大帮助，因为副本仍然是加密的)。