Mac’lerin disk imajını almak için zorlandığınız, diski sökmek için uğraştığınız oldu mu? #DFIR

Çözümü çok kolay:

  1. İmajı alacağımız harici diski exFAT olarak formatlıyoruz. Mac NTFS ve dosya sahiplik bilgisine sahip disklere yazamıyor.
  2. Makine kapalıyken Harici USB disk bağlanır.
  3. Makine klavyede CMD+S basılıyken güç düğmesi ile açılır
  4. “Do” notasını duyduğunuzda CMD+S basılı kalmalı
  5. Bu şekilde Mac’in içindeki gizli bir BSD dağtımını açmış oluyoruz
  6. Bash kabuğu açıldığında ilk olarak “mount -uw /” komutuyla geçici sistem root dizinini tekrar okunur-yazılır olarak bağlıyoruz.
  7. Sonra tercihe bağlı olarak isimlendireceğimiz bir dizin oluşturuyoruz. Ben Linux’tan alışkanlıkla “/mnt” kullanıyorum: “mkdir /mnt”
  8. Takılan USB disk genellikle “/dev/disk1” olarak görünüyor. Partisyon ise “/dev/disk1s1”.
  9. Sistem diski ise “/dev/disk0”. Bunu “ls -al /dev/disk*” komutuyla kontrol edebiliriz. Bir Mac’in sistem diskinde genellikle 3 partisyon bulunuyor.
  10. Harici diski geçici sistemde “/mnt”ye bağlıyoruz: “mount.exfat /dev/disk1s1 /mnt1
  11. Diskimiz okunur-yazılır olarak kurulmuş mu diye bakmakta fayda var: “mount”
  12. …ve imajı alıyoruz: “dd if=/dev/disk0 of=/mnt/imaj.img bs=1m”
    Burada 1m bir seferde kopyalanmaya çalışılacak veri miktarını belirliyor. dd’nin maalesef otomatik sezgi yeteneği yok.

Yorumlar

comments

Yorum Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorum onaylama sistemi etkin; yorumunuzun yayınlanması biraz zaman alabilir.

Translate »

T. Koray Peksayar Blog is Stephen Fry proof thanks to caching by WP Super Cache