Toon posts:

Exacte kopie schijf

Pagina: 1
Acties:

zondag 8 maart 2009 16:43

Acties:

Verwijderd

Topicstarter
Hallo,

Ik moet voor school een forensische kopie maken van een harde schijf, dit doen we via backtrack 2 of 3 in vmware. alleen het lukt mij niet, de md5sum is steeds anders en de ene schijf is net iets groter dan de ander naar de copy, dit is wat ik gedaan heb.
- Schijf toegevoegd in vmware (De orginele schijf die gekopieerd moet gaan worden)
- Een nieuwe schijf toegevoegd (leeg)
- commando voor copy dd if=/dev/sdc of=/dev/sdb’ (sdc is de orginele schijf, sdb de lege)
- daarna fdisk ingetypt en alleen opgeslagen gedaan dus met de optie w
- schijven gemount
- en toch verschillend

wie helpt mij met het maken van een exacte kopie?

zondag 8 maart 2009 16:47

Acties:
  • freyk
  • Registratie: September 2003
  • Laatst online: 03-01 12:48

freyk

kijk eens naar clonezilla

zondag 8 maart 2009 16:51

Acties:

Verwijderd

Topicstarter
dat is met software, we moeten het met commando's doen

zondag 8 maart 2009 17:01

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 13:37

sh4d0wman

Attack | Exploit | Pwn

Kijk hier eens even voor meer info http://www.crazytrain.com/dd.html

Probeer dus eens dd if=/dev/sdc of=/dev/testimage
Doe daarna md5sum /dev/sdc en daarna md5sum /dev/testimage
Als het goed is zal de md5 string hetzelfde zijn.

Mag je ook geen FTK Imager gebruiken?
offtopic:
Welke opleiding volg je?

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

zondag 8 maart 2009 17:05

Acties:
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 13:44

Kees

Serveradmin / BOFH / DoC
Verwijderd schreef op zondag 08 maart 2009 @ 16:51:
dat is met software, we moeten het met commando's doen
en dd en fdisk zijn geen commando's? ;)

Maar inderdaad, ik zou het naar een file dd-en, en die file dan met -oloop mounten als je erbij wil

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

zondag 8 maart 2009 17:07

Acties:

Verwijderd

Topicstarter
opleiding: Particulier Digitaal Onderzoeker

nee, moet echt met commando's
maar wat het probleem is, als ik dus een copy maak dan is die schijf niet te benaderen, met fdisk moet je die tabel aanmaken maar dat doet hij dus niet vanzelf, of weet iemand een andere oplossing

zondag 8 maart 2009 17:07

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Kees schreef op zondag 08 maart 2009 @ 17:05:
[...]

en dd en fdisk zijn geen commando's software? ;)
;)

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zondag 8 maart 2009 17:21

Acties:
  • RemcoDelft
  • Registratie: April 2002
  • Laatst online: 03-05-2025

RemcoDelft

Dat doe ik altijd simpelweg met "cat": `cat /dev/sda > file.iso`
Hierbij moet de disk natuurlijk niet gemount zijn!

Maar bij het woord "forensische kopie" denk ik eerder aan een wat uitgebreidere hardwareanalyse, waarbij ook verwijderde en overschreven sectoren worden teruggehaald.

[ Voor 10% gewijzigd door RemcoDelft op 08-03-2009 17:22 ]

zondag 8 maart 2009 17:21

Acties:
  • Paultje3181
  • Registratie: November 2002
  • Laatst online: 09:40

Paultje3181

wat jij nu doet is een lege schijf aanmaken, welke volgens mij nooit precies gelijk is. Als je met dd naar een image schrijft zou je deze gewoon moeten kunnen mounten, maar op het moment dat je alles dd't naar de sdb (zoals jij dus), krijg je een net andere md5 omdat de schijven niet identiek zijn. Je kunt wel: sdb maken (iets groter dan sdc), met fdisk partitioneren en daar de image opzetten. Dat zou moeten werken...

zondag 8 maart 2009 17:43

Acties:
  • frapex
  • Registratie: Januari 2001
  • Laatst online: 13:59

frapex

got r00t

Verwijderd schreef op zondag 08 maart 2009 @ 17:07:
opleiding: Particulier Digitaal Onderzoeker

nee, moet echt met commando's
maar wat het probleem is, als ik dus een copy maak dan is die schijf niet te benaderen, met fdisk moet je die tabel aanmaken maar dat doet hij dus niet vanzelf, of weet iemand een andere oplossing
hdparm -z /dev/sdX
-z re-read partition table

Je kan ook rebooten ;)

Asus A7N8X-X, AMD XP2400+, 2.5GB Infineon+Samsung DDR333, Radeon x1600 Pro, 2x Fujitsu MAP3735NC 10Krpm SCSI 73GB, Seagate Medalist 17.2GB, LiteOn DVD 16x48x, LiteOn 48x12x48, Promise UDMA100/TX2, Adaptec 2110S Ultra3, 2x EIZO FlexScan (F931 & F930)

zondag 8 maart 2009 21:13

Acties:
  • Rainmaker
  • Registratie: Augustus 2000
  • Laatst online: 14-07-2024

Rainmaker

RHCDS

Komt dat verschil in grootte niet gewoon omdat je de MBR e.d. meekopieert?

Als je nou alleen de partitie kopieert?

dus
dd if=/dev/sda1 of=/mnt/grooteschijf/kopie.img

Daarna backtrack o.i.d. loslaten op de kopie.img.

We are pentium of borg. Division is futile. You will be approximated.

zondag 8 maart 2009 21:20

Acties:
  • Jaap-Jan
  • Registratie: Februari 2001
  • Laatst online: 27-01 21:11

Jaap-Jan

Het verschil in md5sum kan ook ergens anders door komen. Als beide schijven niet exact even groot zijn, blijft er aan het eind van de schijf nog een stukje willekeurige data over. Die wordt meegenomen in de md5sum, die dus verschilt van het origineel. Je zou ook gewoon sector-voor-sector kunnen met 'cmp'.

[ Voor 4% gewijzigd door Jaap-Jan op 08-03-2009 21:20 ]

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

zondag 8 maart 2009 21:28

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 13:55

DukeBox

Verwijderd schreef op zondag 08 maart 2009 @ 16:43:
...een forensische kopie maken van een harde schijf...
Dat kan niet met standaard tools, deze kopieren alleen de huidige status van een hdd. Bijv. bit history wordt dan al niet meegenomen net als de inhoud van cache.

zondag 8 maart 2009 22:43

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 23-01 15:29

lordgandalf

Heeyz een mede digitaal onderzoeker.
Het is waarschijnlijk idd zo dat je twee verschillende groottes hebt van virtuele schijven en dus ook verschillende checksums hebt.
het is verstandiger denk ik om ipv direct van disk naar disk te kopieren om van disk naar file te kopieren en deze file dan te mounten via loop.
dan verkrijg je een exact resultaat.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq