我有几个来自单个驱动器的 dd 图像。其中之一是交换。除了交换的图像外,我在 Ubuntu 中安装了所有图像都很好。这就是 dd 映像的分解方式:hda8 是 /,hda1 是 /boot,hda6 是 /home,hda5 是 /usr,hda7 是 /var,hda9 是 swap。
我使用的命令是:sudo mount -o loop,ro hda1.dd /mnt/Linux
我按照上面列出的顺序安装了每个映像,以便它全部显示为一个驱动器。
当我尝试挂载交换映像时,它失败并出现错误:dev/loop5 看起来像交换空间 - 未挂载。您必须指定文件系统类型。
有什么建议么?
对于 linux 交换取证,您可以在设备本身上工作而不是挂载它。你应该看看swap_digger 它将转储所有交换字符串并尝试在其中找到明文密码和其他数据。
交换空间不包含文件系统,因此没有挂载。挂载文件系统意味着使文件和目录结构可见,以便您可以导航和操作文件。但是交换空间不包含文件,它的数据组织起来更像内存中的页面,换句话说,操作系统/内存管理系统知道但“mount”命令不知道的原始数据。
您可以使用
swapon hda9.ddhttp://man7.org/linux/man-pages/man8/swapon.8.html
使用这种方法,交换文件中的最终数据残留可能会被系统覆盖,因此如果他的目的是检查交换内容,您应该避免这种情况,并使用十六进制编辑器或其他取证工具查看内容。