BT5(backtrack5)取证工具选择和使用简介

1.dd：它是 Linux/UNIX 下的一个非常有用的工具，作用是用指定大小的块拷贝一个文件，并在拷贝的同时进行指定的转换。首先使用df -hl 查看硬盘分区表，选择需要进行取证的硬盘，（切记需要恢复到其他的分区或者移动介质上，实际操作中源盘和目标盘不能是同一块盘，） 

用法：dd if=/dev/sda1 of=/dev/hda1/forensic.image

2.Foremost：一款开源的取证工具，可以快速恢复硬盘上已删除的office文档、jpg、pdf等文件。 配置文件：/usr/local/etc/foremost.conf

Foremost是配合dd来用的，使用Foremost来恢复dd打包的数据，通过Foremost的配置文件，来修改都需要恢复那些类型的数据。

用法：foremost -v -o 丢失数据恢复目录 -c /usr/local/etc/foremost.conf 镜像文件

3.Wipe bt5默认是没有安装的，apt-get install wipe 用于擦除痕迹，你懂的。擦的次数越多越难恢复。你懂的。

      用法1：wipe -i -f -q 要擦除的文件 用法2：wipe -i -Q 擦除次数 要擦除的文件 用法3：wipe -rcf 要擦除的目录