Startseite‎ > ‎IT-Forensik‎ > ‎RAM-Dump‎ > ‎Linux‎ > ‎

dd / dcfldd

Mit dd  oder dcfldd kann neben dem Erstellen von Images von Datenträgern auch der Inhalt des Hauptspeichers gesichert werden, der sich unter /dev/mem befindet.

Der Vorteil von dcfldd ist, dass dieses Tool auch eine Vortschritsanzeige hat und auch on-the-fly Hashsummen der gesicherten Daten erzeugen kann.

Bp:
dcfldd if=/dev/mem conv=sync,noerror of=/mnt/usbhd/NameDerRAM-Sicherung.dd hash=md5

Falls man dd /dcfldd mit einer grafischen Oberfläche verwenden möchte, gibt es dazu eine die dafür entwickelte Oberfläche AIR-Imager

https://sourceforge.net/projects/air-imager/
Comments