Enquanto executa um comando como
# dd if=/dev/sda of=/path/to/external/medium/file.img
em um sistema live funcionará, isso resultará em vários problemas que você não terá se inicializar em um sistema operacional separado e criar a (s) imagem (s) a partir de lá:
-
Se você imagina um disco inteiro, ele provavelmente contém um carregador de boot e um tabela de partição . Aqueles vão entrar em seu caminho quando você for tentar fazer perícia / recuperação na imagem.
O que você realmente quer é imaginar cada sistema de arquivos de forma independente:
# dd if=/dev/sda1 of=/path/to/external/medium/filesystem1.img # dd if=/dev/sda2 of=/path/to/external/medium/filesystem2.img ...etc...
Fazer isso desta forma torna trivial a montagem dos sistemas de arquivos:
# mount -oloop,ro filesystem1.img /mnt/fs1
(Eu mostro o
mount
feito como root porque em alguns Linuxes, dispositivos de loop estão bloqueados, então regular os usuários não podem usá-los.) -
Você está capturando instantaneamente sistemas de arquivos montados ao vivo, então quando você os monta mais tarde, não é diferente do que se você tivesse desligado a máquina. As partições serão " sujas " o que pode dificultar sua montagem sem danificá-los forensicamente.
-
Você está usando a cópia da máquina suspeita de
dd(1)
. Se alguém estivesse tentando ocultar algo de você, poderia fornecer uma cópia maliciosa ou maliciosa dedd(1)
.
Agora, tudo o que foi dito, existem algumas boas razões para fazer um clone on-line. A melhor razão é que o sistema está usando alguma forma de sistema de arquivos ou criptografia de todo o disco , e reiniciar o sistema irá apagar a descriptografia chaves para os volumes montados.
No entanto, dd
não é a ferramenta certa para esse trabalho, pois você obterá apenas uma cópia dos dados criptografados em repouso. Um backup regular é uma ideia melhor. Por exemplo,
# tar -cvJf --exclude={'/proc/*','/sys/*','/tmp/*'} \
/path/to/external/medium/everything.tar.xz /
Isso não descobrirá partições ocultas, mas pelo menos forçará o sistema a descriptografar todos os arquivos acessíveis diretamente da raiz do sistema de arquivos.