guymager計算機取證工具

計算機取證時需要為計算機生成一個位鏡像拷貝 , 這需要在系統(tǒng)還在運行的時候，或至少要在系統(tǒng)關閉之前進行。“位鏡像拷貝”是指對硬件驅動器上每一位進行拷貝，它不考慮操作系統(tǒng)是如何解析這些位的，所以 它不是對每一個文件的拷貝。因為位鏡像拷貝包含了一些被刪除了的數(shù)據和文件的分段，而這些分段是被操作系統(tǒng)隱藏的，所以位鏡像拷貝比文件級的鏡像拷貝更優(yōu) 越。在生成一個磁盤的鏡像并將其通過網絡存放在另一臺電腦的過程中，你僅僅需要兩個工具：通用的 GNU/Linux 工具 dd/dcfldd。

guymager 是將 dd 與 dcfldd 命令轉換為圖形化接口，方便取證人員及事件恢復人員建立鏡像，但其只支持 Linux 系統(tǒng)；使用者可選擇利用 dd 或是 dcfldd 來制作鏡像、可透過 MD5 或是 SHA-1 來驗證鏡像、鏡像可利用 gzip/bzip2 進行壓縮等。