Как смонтировать образ dd файла подкачки
У меня есть несколько изображений с одного диска. Одним из них является своп. Я смонтировал все образы в Ubuntu просто отлично, за исключением образа подкачки. Вот как образы дд ломаются: hda8 - это /, hda1 - это / boot, hda6 - это / home, hda5 - это / usr, hda7 - это / var, а hda9 - это подкачка.
Я использовал команду: sudo mount -o loop, ro hda1.dd / mnt / Linux
Я смонтировал каждое изображение в указанном выше порядке, чтобы оно отображалось как один диск.
Когда я пытаюсь смонтировать образ подкачки, происходит сбой с ошибкой: dev / loop5 выглядит как пространство подкачки - не смонтировано. Вы должны указать тип файловой системы.
Какие-либо предложения?
3 ответа
Пространство подкачки не содержит файловой системы, поэтому оно не смонтировано. Подмонтировать файловую систему означает сделать видимой структуру файлов и каталогов, чтобы вы могли перемещаться и манипулировать файлами. Но пространство подкачки не содержит файлов, его данные организованы больше как страницы в памяти, другими словами, необработанные данные, о которых операционная система / система управления памятью знает, а команда "mount" - нет.
Для linux swap forensic вы можете работать на самом устройстве, а не монтировать его. Вы должны взглянуть на swap_digger, который сбросит все строки подкачки и попытается найти там пароли открытого текста и другие данные.
Ты можешь использовать swapon hda9.dd
http://man7.org/linux/man-pages/man8/swapon.8.html
При таком подходе возможная остаточность данных в файле подкачки может быть перезаписана системой, поэтому, если его целью является проверка содержимого подкачки, вам следует избегать этого и просматривать содержимое с помощью шестнадцатеричного редактора или других криминалистических инструментов.