maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/generic-methodologies-and-resources/basic-forensic-meth

Browse Source
This commit is contained in:
Translator 2025-08-19 18:21:47 +00:00
parent 7c76ef5351
commit d14b334e00
2 changed files with 10 additions and 12 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

7
hacktricks-preprocessor.py
View File

@ -62,9 +62,10 @@ def ref(matchobj):
logger.debug(f'Recursive title search result: {chapter["name"]}')
title = chapter['name']
except Exception as e:
dir = path.dirname(current_chapter['source_path'])
rel_path = path.normpath(path.join(dir,href))
try:
dir = path.dirname(current_chapter['source_path'])
logger.debug(f'Error getting chapter title: {href} trying with relative path {path.normpath(path.join(dir,href))}')
logger.debug(f'Error getting chapter title: {href} trying with relative path {rel_path}')
if "#" in href:
chapter, _path = findtitle(path.normpath(path.join(dir,href.split('#')[0])), book, "source_path")
title = " ".join(href.split("#")[1].split("-")).title()
@ -75,7 +76,7 @@ def ref(matchobj):
logger.debug(f'Recursive title search result: {chapter["name"]}')
except Exception as e:
logger.debug(e)
logger.error(f'Error getting chapter title: {path.normpath(path.join(dir,Error getting chapter title))}')
logger.error(f'Error getting chapter title: {rel_path}')
sys.exit(1)

15
src/generic-methodologies-and-resources/basic-forensic-methodology/image-acquisition-and-mount.md
View File

@ -53,15 +53,12 @@ sudo ewfacquire /dev/sdb -u evidence -c 1 -d "Seizure 2025-07-22" -e 1 -X examin
```
### Imaging Cloud Disks
*AWS* створити **судово-медичний знімок** без вимкнення екземпляра:
*AWS* створити **судово-експертний знімок** без вимкнення екземпляра:
```bash
aws ec2 create-snapshot --volume-id vol-01234567 --description "IR-case-1234 web-server 2025-07-22"
# Copy the snapshot to S3 and download with aws cli / aws snowball
```
*Azure* використовуйте `az snapshot create` та експортуйте до SAS URL. Дивіться сторінку HackTricks {{#ref}}
../../cloud/azure/azure-forensics.md
{{#endref}}
*Azure* використовуйте `az snapshot create` та експортуйте до SAS URL.
## Монтування
@ -69,7 +66,7 @@ aws ec2 create-snapshot --volume-id vol-01234567 --description "IR-case-1234 web
1. Монтуйте **весь диск**, коли вам потрібна оригінальна таблиця розділів (MBR/GPT).
2. Монтуйте **файл одного розділу**, коли вам потрібен лише один том.
3. Завжди монтуйте **тільки для читання** (`-o ro,norecovery`) і працюйте з **копіями**.
3. Завжди монтуйте **тільки для читання** (`-o ro,norecovery`) та працюйте з **копіями**.
### Сирі зображення (dd, AFF4-extracted)
```bash
@ -131,7 +128,7 @@ mount -o ro /dev/mapper/loop0p2 /mnt
| Помилка | Типова причина | Виправлення |
|-------|---------------|-----|
| `cannot mount /dev/loop0 read-only` | Журналізована FS (ext4) не була коректно відмонтована | використовуйте `-o ro,norecovery` |
| `bad superblock …` | Неправильний зсув або пошкоджена FS | обчисліть зсув (`sector*size`) або запустіть `fsck -n` на копії |
| `bad superblock …` | Неправильний зсув або пошкоджена FS | розрахуйте зсув (`sector*size`) або запустіть `fsck -n` на копії |
| `mount: unknown filesystem type 'LVM2_member'` | Контейнер LVM | активуйте групу томів за допомогою `vgchange -ay` |
### Очищення
@ -143,7 +140,7 @@ kpartx -dv /dev/loop0 # or qemu-nbd --disconnect /dev/nbd0
```
## Посилання
- AFF4 imaging tool announcement & specification: https://github.com/aff4/aff4
- qemu-nbd manual page (mounting disk images safely): https://manpages.debian.org/qemu-system-common/qemu-nbd.1.en.html
- Оголошення та специфікація інструменту зображення AFF4: https://github.com/aff4/aff4
- Сторінка мануалу qemu-nbd (безпечне монтування образів дисків): https://manpages.debian.org/qemu-system-common/qemu-nbd.1.en.html
{{#include ../../banners/hacktricks-training.md}}