数字取证中的磁盘管理与图像管理技巧
1. 微软动态磁盘分析
微软开发了逻辑磁盘管理器(LDM)来管理逻辑卷,我们可以使用基于 Linux 的工具 ldmtool 来分析微软动态磁盘,目标是让取证工具能够进行块级访问。
1.1 扫描磁盘组 GUID
假设有两个由微软 LDM 创建卷的磁盘连接到采集主机。LDM 磁盘组由全局唯一标识符(GUID)标识,可使用以下命令扫描磁盘的磁盘组 GUID:
# ldmtool scan /dev/sda /dev/sdb [ "04729fd9-bac0-11e5-ae3c-c03fd5eafb47" ]1.2 查看磁盘组信息
使用ldmtool show命令获取磁盘组的更多信息:
# ldmtool show diskgroup 04729fd9-bac0-11e5-ae3c-c03fd5eafb47 { "name" : "LENNY-Dg0", "guid" : "04729fd9-bac0-11e5-ae3c-c03fd5eafb47", "volumes" : [ "Volume1" ], "disks" : [ "Disk1", "Disk2" ] }1.3 创建卷设备
根据 GUID 和卷名创建卷设备:
# ldmtool create volume 0472
)
)
