法医数据采集与处理的规划和准备
1. 目录结构的使用
利用目录结构来分离不同磁盘、PC、用户和位置的命令输出是很有优势的。这样就无需将这些信息嵌入到输出文件名中。例如:
OFFICE-US123 USER-123456 PC1-HDA CD1 CD2 USER-98765 PC1-HDA PC1-HDB NB1-HDA USB1 USB2 DVD1 OFFICE-UK567 PC1-HDA在这个例子中,有两个办公地点,分别是美国的 US123 和英国的 UK567。美国办公室按用户工作区划分,对每个被检查的存储介质使用一个目录。英国办公室的 PC 未与任何特定用户关联(可能位于会议室),这在目录结构中有所体现。
在目录结构中,对于存储介质可以使用组织的 IT 库存编号,而非员工标识符。这个唯一标识符可能会关联额外信息,如购买日期、部门、办公地点、用户详情、安装的软件、使用历史等。出于保密原因,可能需要从文件名和目录结构中省略某些信息,比如嫌疑或目标人员的姓名不应嵌入文件名,而应使用标识符、首字母或员工编号,也可以使用调查代号,在信息丢失、被盗或日后被访问时提供一定程度的保护。
2. 重定向保存命令输出
创建用于存储各种被检查项目分析结果的目录结构后,可以将典型的 shell 命令输出从标准输出重定向到文件中,示例如下:
# fls /dev/sda1 > fls-part1.txt # fls /dev/sda2 > fls-part2.tx
