Создание Образа физического устройства (HDD, SD-card, Flash)
- bellic
- Сообщения: 1453
- Зарегистрирован: 11 мар 2017, 07:47
- Откуда: Rostov-on-Don
- Контактная информация:
Создание Образа физического устройства (HDD, SD-card, Flash)
В данной теме опишу процесс "Правильного"(сугубо Имхо...) способа снятия Образа физического устройства, в качестве которого может быть HDD, SD-карточка или USB-Flash(обычная флэшка) с помощью известного Универсального HEX-редактора WinHex.
В качестве "подопытного кролика" буду использовать обычную Флэшку на 2 Гигабайта.
WinHex необходимо запустить с правами Администратора - вызываем контекстное меню правым батоном мыши по ярлыку программы и выбираем пункт "Запуск от имени Администратора" !!!
Выбираем в меню "Инструменты ---> Дисковые инструменты ---> Клонировать диск..."
В открывшемся окошке выбираем кнопками:
- Источник - клонируемый физический носитель (выделено КРАСНАЯ рамка);
- Приемник - имя и расширение выходного файла Образа (выделено ЗЕЛЕНАЯ рамка).
В окошке, открывшемся после выбора Источника - главное не ошибиться и выбрать именно нужный физический носитель (устройство):
Наблюдаем за процессом...
В конце создания Образа получаем сообщение:
...и Лог-файл примерно следующего содержания:
После этого наше физическое устройство с которого мы снимали Образ, можно извлечь!
Почему именно так?
А потому, что после снятия Образа в этом режиме, в редакторе имеется возможность представить Образ в режиме физического устройства и заглянуть в имеющиеся на нем разделы, каталоги и файлы и если надо - скопировать их уже на свой ПК для изучения или модификации!
А теперь самое интересное - открытие Образа, как физического устройства!!!
Открываем в WinHex-се ранее созданный Образ (в нашем случае он уже открыт):
Выбираем в меню "Специалист ---> Интерпретировать файл как диск"
... и видим следующую картину:
- "Неразмеченное место" размером 3,9 Мбайта - тут находится BOOT-сектор и прочая системная информация;
- "Раздел_1" размером 1,9 Гбайта в формате FAT16.
А после двойного щелчка по Раздел_1 - заходим в него и видим Каталоги и файлы (в том числе удаленные), находящиеся на нашей флэшке. Процесс создания Образа нашего физического устройства (Клонирование) закончен!
Теперь мы можем спокойно "гулять" по Образу как по физическому устройству, заглядывать в каталоги, копировать их и находящиеся внутри файлы на свой ПК для изучения или модификации.
Единственный "минус" данного режима - это объем получаемого образа!
(Если к примеру мы клонируем 16-Гиговый HDD, SD-карточку или флешку, то и полученный Образ будет соответствующего размера!)
А что собственно теперь мешает заархивировать получившийся Образ, например для того, чтоб поделиться им со своими единомышленниками?
В качестве "подопытного кролика" буду использовать обычную Флэшку на 2 Гигабайта.
WinHex необходимо запустить с правами Администратора - вызываем контекстное меню правым батоном мыши по ярлыку программы и выбираем пункт "Запуск от имени Администратора" !!!
Выбираем в меню "Инструменты ---> Дисковые инструменты ---> Клонировать диск..."
В открывшемся окошке выбираем кнопками:
- Источник - клонируемый физический носитель (выделено КРАСНАЯ рамка);
- Приемник - имя и расширение выходного файла Образа (выделено ЗЕЛЕНАЯ рамка).
В окошке, открывшемся после выбора Источника - главное не ошибиться и выбрать именно нужный физический носитель (устройство):
Наблюдаем за процессом...
В конце создания Образа получаем сообщение:
...и Лог-файл примерно следующего содержания:
После этого наше физическое устройство с которого мы снимали Образ, можно извлечь!
Почему именно так?
А потому, что после снятия Образа в этом режиме, в редакторе имеется возможность представить Образ в режиме физического устройства и заглянуть в имеющиеся на нем разделы, каталоги и файлы и если надо - скопировать их уже на свой ПК для изучения или модификации!
А теперь самое интересное - открытие Образа, как физического устройства!!!
Открываем в WinHex-се ранее созданный Образ (в нашем случае он уже открыт):
Выбираем в меню "Специалист ---> Интерпретировать файл как диск"
... и видим следующую картину:
- "Неразмеченное место" размером 3,9 Мбайта - тут находится BOOT-сектор и прочая системная информация;
- "Раздел_1" размером 1,9 Гбайта в формате FAT16.
А после двойного щелчка по Раздел_1 - заходим в него и видим Каталоги и файлы (в том числе удаленные), находящиеся на нашей флэшке. Процесс создания Образа нашего физического устройства (Клонирование) закончен!
Теперь мы можем спокойно "гулять" по Образу как по физическому устройству, заглядывать в каталоги, копировать их и находящиеся внутри файлы на свой ПК для изучения или модификации.
Единственный "минус" данного режима - это объем получаемого образа!
(Если к примеру мы клонируем 16-Гиговый HDD, SD-карточку или флешку, то и полученный Образ будет соответствующего размера!)
А что собственно теперь мешает заархивировать получившийся Образ, например для того, чтоб поделиться им со своими единомышленниками?
Создание Образа физического устройства (HDD, SD-card, Flash)
Немного уточню
Необходимо написать ручками Имя (Test) и Расширение (.dd или .img)
- bellic
- Сообщения: 1453
- Зарегистрирован: 11 мар 2017, 07:47
- Откуда: Rostov-on-Don
- Контактная информация:
Создание Образа физического устройства (HDD, SD-card, Flash)
pppoe1, привет!
Неужель проснулся?...
...
ЕПСтепственно ручками! - Ибо без указания "ИМЕНИ_ФАЙЛА" WinHex не даст перейти к следующему пункту...
А вот указывать тут расширение из предложенных - как оказалось, не обязательно!!!
Это интуитивно-понятные мелочи!
А вот о том, что WinHex необходимо запускать с правами Админа - я забыл написать, а это уже ВАЖНО!!!
Исправлю выше...
Все... 03:12 ночи МСК... я спать!...
Создание Образа физического устройства (HDD, SD-card, Flash)
Привет! ага, у нас утро, или это про что то другое?
Да для программы не обязательно, а для себя очень желательно (это же инструкция для новичков?)
И у меня вопрос: файлы с расширениями .001, .dd, .img, .ctr после создания копии в WinHex с одного источника будут идентичны?
- bellic
- Сообщения: 1453
- Зарегистрирован: 11 мар 2017, 07:47
- Откуда: Rostov-on-Don
- Контактная информация:
Создание Образа физического устройства (HDD, SD-card, Flash)
Отвечу скриншотом сравнения двух Образов, снятых с подопытной флэшки, но сохраненных с разным Расширением:
Это уже пускай Юзер-Специалист сам решает - в каких папках, с какими именами и расширениями ему удобней сохранять!Да для программы не обязательно, а для себя очень желательно
Разжевывать все до пунктов - где нужно нажать кнопку "ОК" думаю не имело смысла, а "Новичкам" желательно еще и хотя бы встроенную справку прочитать к WinHex-су!!!это же инструкция для новичков?
- bellic
- Сообщения: 1453
- Зарегистрирован: 11 мар 2017, 07:47
- Откуда: Rostov-on-Don
- Контактная информация:
Создание Образа физического устройства (HDD, SD-card, Flash)
Жду список этих самых ИНСТРУМЕНТОВ...
А пока суть да дело - снял образ с той же самой флэшки программой "WinImages"... чисто для теста...
Полученный образ имеет расширение ".IMA" и как видно на скриншоте - размер меньше чем предыдущие два: Скажу больше - образ даже открылся в WinHex в режиме ИНТЕРПРЕТАЦИИ!!!
Но я бы этому Образу не сильно верил бы... что-то он там всеж пропустил, судя по меньшему размеру!
Создание Образа физического устройства (HDD, SD-card, Flash)
HDD Raw Copy Tool
USB Image Tool
Win32DiskImager
и.т. все кто умеет снимать имидж.
а запускается в винхекс так. Открыть файлы > Тип файлов (все типы образов или Raw image) Это все образ открывается как диск
ничего типа ИНТЕРПРЕТАЦИИ нажимать не нужно
- bellic
- Сообщения: 1453
- Зарегистрирован: 11 мар 2017, 07:47
- Откуда: Rostov-on-Don
- Контактная информация:
Создание Образа физического устройства (HDD, SD-card, Flash)
Справедливости ради приведу еще один способ создания Образа все той же программой "WinHex"...
Точнее - выложу первоисточник из его Справки:
Выбираем физическое устройство...
Попадаем в окошко с различными опциями
Как видно из фрагмента Справки и скриншота, тут нам доступно два режима:
1. Несжатый образ - он практически аналогичен режиму, рассмотренному в первом сообщении темы.
Хотя этот режим позиционируется как "несжатый", но доступно Три варианта компрессии (без сжатия, NTFS(Sparse) и NTFS).
Уж не знаю как они там различаются, но полученные файлы образа совпадают как по размеру, так и при двоичном сравнении с первоначальным файлом образа "test.img" из первого сообщения темы!
2. Бэкап WinHex (.whx) - внутренний формат редактора с различной степенью сжатия (в том числе и без нее).
Образ, созданный в этом режиме, открыть в режиме "Интерпретации" не получится (в том числе и без сжатия)!!!
А так же несколько побольше опций, наиболее важные для нас:
- компрессия получаемого образа;
- разбиение образа на сегменты;
- подсчет Хэша образа (несколько алгоритмов на выбор);
- ...
Т.О. в этом варианте тоже можно сделать несжатый образ, доступный позже для открытия в режиме "Интерпретации", но т.к. тут опций больше, то неопытному "Новичку" можно слегка запутаться...
А помочь может только Он (ОПЫТ):
Точнее - выложу первоисточник из его Справки:
В общем жмем "Файл --> Создать образ диска..." и т.д.For disk imaging in general it is recommended to use the File | Create Disk Image functionality for various reasons (with a forensic license: support for .e01 evidence files, compression, splitting, hashing, encryption, metadata, technical details report, more convenient). Only in specific cases, for example when dealing with several physical disk defects or when the goal is to copy only certain ranges of sectors, advanced users can use Tools | Disk Tools | Clone Disk to have more detailed control over which sectors are copied from where to where in which order.
Выбираем физическое устройство...
Попадаем в окошко с различными опциями
Как видно из фрагмента Справки и скриншота, тут нам доступно два режима:
1. Несжатый образ - он практически аналогичен режиму, рассмотренному в первом сообщении темы.
Хотя этот режим позиционируется как "несжатый", но доступно Три варианта компрессии (без сжатия, NTFS(Sparse) и NTFS).
Уж не знаю как они там различаются, но полученные файлы образа совпадают как по размеру, так и при двоичном сравнении с первоначальным файлом образа "test.img" из первого сообщения темы!
2. Бэкап WinHex (.whx) - внутренний формат редактора с различной степенью сжатия (в том числе и без нее).
Образ, созданный в этом режиме, открыть в режиме "Интерпретации" не получится (в том числе и без сжатия)!!!
А так же несколько побольше опций, наиболее важные для нас:
- компрессия получаемого образа;
- разбиение образа на сегменты;
- подсчет Хэша образа (несколько алгоритмов на выбор);
- ...
Т.О. в этом варианте тоже можно сделать несжатый образ, доступный позже для открытия в режиме "Интерпретации", но т.к. тут опций больше, то неопытному "Новичку" можно слегка запутаться...
А помочь может только Он (ОПЫТ):
О, сколько нам открытий чудных
Готовят просвещенья дух,
И опыт, сын ошибок трудных,
И гений, парадоксов друг,
- bellic
- Сообщения: 1453
- Зарегистрирован: 11 мар 2017, 07:47
- Откуда: Rostov-on-Don
- Контактная информация:
Создание Образа физического устройства (HDD, SD-card, Flash)
Щас потестим...
Краткие возможности и впечатления:
- HDD Raw Copy Tool
- USB Image Tool
- Win32DiskImager
Образ создается только в формате "IMG".
В наличии - режим сравнения файла-Образа с информацией на выбранном устройстве.
Имеется возможность подсчета Хэша (none, MD5, SHA1, SHA256), правда в процессе подсчета утилита подвисает.
Несомненно - более полную информацию по каждой из Утилит, можно почерпнуть из Справочных данных(файлов) или с Офф-Сайтов разработчиков!
Т.О. все RAW-образы, полученные каждой из вышеописанных утилит - имеют аналогичную длину и содержание(проверено бинарным сравнением), как и у тестового файла-Образа "test.img" из первого сообщения темы (т.е. созданного WinHex).
Но лично мне больше нравится работать в WinHex - какой прогой создаю Образ, той же и открываю ее внутренности!
Кто сейчас на конференции
Сейчас этот форум просматривают: bellic, Majestic-12 и 172 гостя