6、实时响应：数据收集指南

实时响应：数据收集指南

在数据收集过程中，获取易失性信息后，就可以进入获取硬盘镜像的阶段。这一阶段充满挑战，需要充分的准备和规划。

1. 易失性信息收集收尾

当获取到输出文件后，可以通过运行 “kill –CONT PID” 命令恢复进程，或者使用 “kill -9 PID” 命令终止进程。此时，易失性信息收集过程完成。从系统获取的所有信息都应进行 MD5 哈希处理，并转移到目标介质上，以便后续分析。

2. 镜像获取的准备与规划

在收集完易失性信息后，可关闭机器并获取硬盘镜像。但实际操作中，这是数据收集过程中较具挑战性的阶段，因为不同系统配置差异很大。可能会遇到多种 RAID 级别、LVM 系统、NAS 设备、SAN 等，或者它们的组合。

随着存储容量增加和价格下降，调查人员要准备好获取大量数据并做好相应规划。例如，曾处理过涉及三个系统的案件，包括两个配置 RAID 5 的服务器和一台 80GB 硬盘的笔记本电脑。为确保万无一失，提前购买了六个 500GB 外部 USB 2.0/Firewire 400 驱动器，最终全部用完。因此，在存储容量和时间上都要做最坏的打算。

此外，客户在求助时通常对事件了解甚少，可能提供不准确的信息。调查人员要认真倾听、做好笔记，并依靠经验和培训来填补信息空白。

3. 使用 dd 命令获取镜像

从 Linux 命令行获取目标的逐位镜像，最简单的方法是使用 “dd” 或磁盘转储命令。“ddfl - dd” 是该工具的一个流行变体，可从 sourceforge 下载。它在传输镜像时会同时进行 MD5 哈希处理，比用 dd 传输镜像后再生成 MD5 校