我有一个驱动器的几个DD镜像。 其中之一是交换。 我把所有的镜像安装在Ubuntu上,除了交换镜像之外。 这是如何破坏dd图像:hda8是/,hda1是/ boot,hda6是/ home,hda5是/ usr,hda7是/ var,并且hda9交换。
我使用的命令是:sudo mount -o loop,ro hda1.dd / mnt / Linux
我以上面列出的顺序安装了每个映像,以便它们都显示为一个驱动器。
当我尝试挂载交换映像时失败,出现错误:dev / loop5看起来像交换空间 – 未挂载。 您必须指定文件系统types。
有什么build议么?
交换空间不包含文件系统,因此不会被挂载。 安装文件系统意味着使文件和目录结构可见,以便您可以导航和操作文件。 但是交换空间不包含文件,其数据更像内存中的页面,也就是说操作系统/内存pipe理系统知道的原始数据,而“挂载”命令则不是。
对于Linux交换取证你可以在设备上工作,而不是挂载它。 你应该看看swap_digger ,它将转储所有的交换string,并试图在那里find明文密码和其他数据。
你可以使用swapon hda9.dd
http://man7.org/linux/man-pages/man8/swapon.8.html
用这种方法,交换文件中的最终数据剩余可能被系统覆盖,所以如果他的目的是检查交换内容,你应该避免这种情况,并用hex编辑器或其他取证工具来查看内容。