dd (原始磁盘镜像)
dd (原始磁盘镜像) 是什么?
dd (原始磁盘镜像)由 Unix dd 工具 (或兼容工具) 生成的扁平、按位复制的存储设备副本,没有压缩、元数据或块级哈希。
dd 镜像是最简单的取证镜像形式:对磁盘、分区或内存设备进行扇区级原始复制并写入一个或多个文件。其名称来自经典的 Unix dd 命令,格式本身由 dd 的输出定义:没有文件头、没有元数据、没有压缩、也没有内嵌哈希。dcfldd、dc3dd、ewfacquire 等变种在保留同样的原始布局的基础上增加了日志、哈希和分卷输出。几乎所有取证工具都能读取 dd 镜像,因此非常适合长期归档与跨工具分析;调查人员通常会另外维护一份哈希清单和证据链记录配合使用。
● 示例
- 01
在 Linux 主机上使用 `dcfldd if=/dev/sda hash=sha256 of=case01.dd` 采集 /dev/sda。
- 02
在 Autopsy 或 The Sleuth Kit 中加载 dd 镜像分析分区与文件系统。
● 常见问题
dd (原始磁盘镜像) 是什么?
由 Unix dd 工具 (或兼容工具) 生成的扁平、按位复制的存储设备副本,没有压缩、元数据或块级哈希。 它属于网络安全的 取证与应急响应 分类。
dd (原始磁盘镜像) 是什么意思?
由 Unix dd 工具 (或兼容工具) 生成的扁平、按位复制的存储设备副本,没有压缩、元数据或块级哈希。
dd (原始磁盘镜像) 是如何工作的?
dd 镜像是最简单的取证镜像形式:对磁盘、分区或内存设备进行扇区级原始复制并写入一个或多个文件。其名称来自经典的 Unix dd 命令,格式本身由 dd 的输出定义:没有文件头、没有元数据、没有压缩、也没有内嵌哈希。dcfldd、dc3dd、ewfacquire 等变种在保留同样的原始布局的基础上增加了日志、哈希和分卷输出。几乎所有取证工具都能读取 dd 镜像,因此非常适合长期归档与跨工具分析;调查人员通常会另外维护一份哈希清单和证据链记录配合使用。
如何防御 dd (原始磁盘镜像)?
针对 dd (原始磁盘镜像) 的防御通常结合技术控制与运营实践,详见上方完整定义。
dd (原始磁盘镜像) 还有哪些其他名称?
常见的别称包括: 原始镜像, .dd, .img, .raw。
● 相关术语
- forensics-ir№ 366
E01 (EnCase) 取证镜像格式
由 Guidance Software 为 EnCase 推出的取证磁盘镜像格式,以分段压缩文件保存采集数据,并嵌入元数据与校验值。
- forensics-ir№ 578
KAPE (Kroll 工件解析与提取器)
由 Kroll 推出的 Windows 取证分流工具,可从在线系统或镜像中收集取证工件,并通过解析模块生成可直接审查的结果。
- forensics-ir№ 388
Eric Zimmerman 的 EZ Tools
由 Eric Zimmerman 维护的免费 Windows DFIR 工具集,包含命令行与 GUI 工具,用于解析常见取证工件并构建时间线。
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。