Xem thêm : Hiểu Về Điều Tra Chứng Cứ Số

Đăng kí học :

Giới thiệu

Các Data Acquisition mô-đun cung cấp cho bạn với các hướng dẫn và các thiết bị để phát triển tay của bạn trên các kỹ năng trong các chủ đề sau:

• Chuẩn bị Drive mục tiêu để chuyển đổi trong Linux
• Thu thập dữ liệu với dd trong Linux
• Chụp ảnh với ProDiscover Basic
• Sử dụng định dạng chuyển đổi độc quyền của ProDiscover
• Dự án thực hành 3-1
• Dự án Thực hành 3-2
• Dự án thực hành 3-3
• Dự án thực hành 3-4

Sơ đồ phòng thí nghiệm

Trong phiên của bạn, bạn sẽ có quyền truy cập vào cấu hình lab sau. Tùy thuộc vào các bài tập, bạn có thể sử dụng hoặc không sử dụng tất cả các thiết bị, nhưng chúng được hiển thị ở đây trong bố cục để hiểu tổng thể về cấu trúc liên kết của phòng thí nghiệm.

Kết nối với Phòng thí nghiệm của bạn

Trong mô-đun này, bạn sẽ làm việc trên các thiết bị sau đây để thực hiện các bước được xác định trong mỗi bài tập.

• PLABWIN810 (Windows 8.1 – Máy trạm độc lập)
• PLABKSRV01 (Máy trạm Kali Linux)

Mỗi bài tập sẽ trình bày chi tiết bạn được yêu cầu sử dụng thiết bị nào để thực hiện các bước.

Để bắt đầu, chỉ cần nhấp vào Máy chủ hoặc Máy trạm đã đặt tên từ danh sách thiết bị (nằm ở bên trái màn hình) và nhấp vào biểu tượng Bật nguồn từ thanh công cụ. Trong một số trường hợp, thiết bị có thể tự động bật nguồn.

Bài tập 1 – Chuẩn bị một Drive mục tiêu để chuyển đổi trong Linux

Hệ điều hành Linux có nhiều công cụ bạn có thể sử dụng để sửa đổi các hệ thống tệp không phải Linux. Các bản phân phối Linux hiện tại có thể tạo bảng phân bổ tệp Microsoft (FAT) và bảng phân vùng Hệ thống tệp công nghệ mới (NTFS). Nhân Linux phiên bản 2.6.17.7 trở về trước chỉ có thể định dạng và đọc hệ thống tệp FAT, mặc dù có sẵn trình điều khiển NTFS, NTFS-3G, cho phép Linux chỉ gắn và ghi dữ liệu vào phân vùng NTFS. Bạn có thể tải xuống trình điều khiển này từ http://sourceforge.net/projects/ntfs-3g, tại đây bạn cũng có thể tìm thấy thông tin về NTFS và hướng dẫn cài đặt trình điều khiển. Để biết thông tin về hệ thống tệp Mac OS X và việc mua lại, hãy xem Chương 7.

Vui lòng tham khảo tài liệu khóa học của bạn hoặc sử dụng công cụ tìm kiếm ưa thích của bạn để nghiên cứu chủ đề này chi tiết hơn.

Nhiệm vụ 1 – Chuẩn bị Hệ thống tệp Linux

Trong tác vụ này, bạn học cách phân vùng và định dạng ổ đĩa Microsoft FAT từ Linux để bạn không phải chuyển đổi hệ điều hành hoặc máy tính để chuẩn bị đĩa đích FAT. Nếu bạn có một ổ đích đã sử dụng trước đó, bạn có thể sử dụng quy trình sau để định dạng nó thành ổ FAT32. Sau khi thực hiện việc mua lại, bạn có thể chuyển đĩa FAT sang hệ thống Windows để sử dụng công cụ phân tích Windows.

Khi chuẩn bị một ổ đĩa được sử dụng trên hệ thống Linux để thu thập hoặc phân tích pháp y, hãy thực hiện nó trong một phiên khởi động riêng biệt mà không có ổ đĩa nghi ngờ nào được đính kèm.

Giả sử bạn có một máy tính Linux đang hoạt động hoặc một máy tính chạy với Linux Live CD, hãy thực hiện các bước sau từ lời nhắc trình bao hoặc ứng dụng dựa trên GUI như GParted.

Để chuẩn bị hệ thống tệp Windows FAT32, hãy thực hiện các bước sau:

Bước 1

Đảm bảo rằng bạn đã cấp nguồn cho các thiết bị cần thiết được chỉ ra trong Phần giới thiệu.

Kết nối với thiết bị PLABWIN810 .

Kết nối với PLABKSRV01 .

Và đăng nhập bằng các thông tin sau:

Tên người dùng: root

Mật khẩu: Passw0rd

Bước 4

Khi đăng nhập vào KALI Linux, tìm menu trên cùng, nhấp vào biểu tượng Terminal .

Bước 5

Lời nhắc thay đổi thành root @ kali : / #.

Để sử dụng ứng dụng giao diện người dùng đồ họa để chuẩn bị lưu trữ đĩa, hãy nhập:

gparted

Nhấn Enter .

Bước 6

Cửa sổ / dev / sda – Gparted đang mở.

Thông tin về chi tiết phân vùng của thiết bị / dev / sda đã chọn được hiển thị trong ngăn giữa.

Bước 7

Ở góc xa bên phải, truy cập danh sách thả xuống và thay đổi nó thành / dev / sdb .

Bước 8

Lựa chọn thay đổi thành / dev / sdb . Bạn sẽ sử dụng đĩa này để chuẩn bị ổ đĩa để sử dụng một hệ thống khác như FAT32 .

Nhấp chuột phải vào / dev / sdb1 và chọn Unmount .

Bước 9

Nhấp chuột phải vào / dev / sdb1 và chọn Delete .

Bước 10

Sau khi xóa phân vùng, nó sẽ không được phân bổ.

Nhấp chuột phải vào chưa phân bổ và chọn Mới .

Bước 11

Trên hộp thoại Tạo phân vùng mới , truy cập hộp quay Kích thước mới (MiB) và nhập:

4096

Trên hộp quay Hệ thống tệp , chọn FAT 32 .

Trên hộp văn bản Nhãn , nhập:

Windows

Nhấp vào Thêm .

Bước 12

Các New Partition # 1 tại được thêm vào. Để lưu các thay đổi đã thực hiện trên hệ thống tệp, hãy nhấp vào dấu kiểm hoặc dấu tích màu xanh lục.

Bước 13

Nhấp vào Áp dụng khi được hỏi liệu bạn có muốn áp dụng các thao tác đang chờ xử lý hay không.

Bước 15

Nhấp vào Đóng khi được thông báo rằng các hoạt động đã hoàn tất thành công.

Bước 16

Phân vùng chính mới trong / dev / sdb1 hiện đã được thêm vào.

Đóng cửa sổ GParted .

Bước 17

Bạn được chuyển hướng đến cửa sổ đầu cuối.

Giữ cửa sổ đầu cuối này mở.

Giữ tất cả các thiết bị được bật ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.

Nhiệm vụ 2 – Gắn ổ đĩa

Để gắn kết phân vùng bạn đã tạo trước đó, hãy thực hiện các bước sau:

Bước 1

Trên PLABKSRV01 .

Cửa sổ Terminal đang mở.

Để tìm ra tên tệp thiết bị của bạn, hãy chạy lệnh sau:

fdisk -l

Trong đó “l” là chữ thường L.

Nhấn Enter .

Bước 2

Trên kết quả của lệnh “fdisk -l”, định vị phần, / dev / sdb .

Lưu ý Start , End , Blocks , Id và System về phân vùng này.

Bước 3

Để tạo một thư mục nơi bạn sẽ gắn thiết bị, hãy nhập:

mkdir /mnt/sdb1

Nhấn Enter .

Bước 4

Sau khi tạo thư mục “ mnt ”, trong lời nhắc tiếp theo, bạn sẽ chỉnh sửa tệp “/ etc / fstab ”.

Trên lời nhắc tiếp theo, hãy nhập:

leafpad

Nhấn Enter .

Bước 5

Khi ứng dụng Leafpad mở ra, hãy nhấp vào Tệp rồi chọn Mở .

Bước 6

Trên hộp thoại Mở , bấm Hệ thống Tệp trên ngăn bên trái.

Sau đó bấm đúp vào thư mục etc trên khung bên phải.

Khi thư mục etc mở ra, cuộn xuống và tìm tệp có tên fstab .Cảnh báo: Xin lưu ý rằng tệp fstab không nằm trong thư mục fstab.d và thay vào đó được tìm thấy ở cuối thư mục etc.

Bước 7

Nhấp vào fstab và chọn Mở .Lưu ý : Tùy thuộc vào độ phân giải màn hình của bạn, bạn có thể không nhìn thấy đúng nút Mở. Vui lòng xem mũi tên màu đỏ trong ảnh chụp màn hình được cung cấp.

Bước 8

Khi tệp fstab mở ra, hãy chuyển đến cuối tệp và nhập các mục sau:

/dev/sdb1  /mnt/sdb1  vfat  defaults  0  0

Nhấn phím TAB để tạo khoảng cách giữa các mục nhập.

Bước 9

Nhấp vào Tệp và chọn Lưu .

Đóng cửa sổ soạn thảo văn bản trên Leafpad .

Bước 10

Quay lại cửa sổ dòng lệnh, để xóa màn hình, hãy nhập:

clear

Nhấn Enter .

Trên lời nhắc tiếp theo, hãy nhập:

gparted

Nhấn Enter .

Bước 11

Khi GParted mở ra, tìm danh sách thả xuống ở ngoài cùng bên phải của cửa sổ.

Thay đổi nó thành / dev / sdb .

Bước 12

Lưu ý rằng trên ngăn chi tiết giữa / phân vùng dev / sdb1 được đặt trên điểm gắn kết được gọi là / mnt / sdb1 .

Bây giờ ổ đĩa này có thể được gắn và sử dụng để nhận hình ảnh của ổ đĩa đáng ngờ. Sau đó trong phần này, bạn sẽ học cách gắn và ghi vào ổ đĩa đích Microsoft FAT32 này.

Nhấp chuột phải vào / dev / sdb1 và chọn Mount on> / mnt / sdb1 /.

Bước 13

Vui lòng đợi trong khi phân vùng được gắn kết.

Sau một vài giây nhận thấy rằng có một biểu tượng “chìa khóa” bên cạnh fat32.

Đóng cửa sổ GParted để quay lại cửa sổ Terminal.

Giữ cửa sổ này mở cho hoạt động tiếp theo.

Giữ tất cả các thiết bị được bật ở trạng thái hiện tại và tiến hành tác vụ tiếp theo.