zffacquire

zffacquire 是一个命令行工具，用于将图像和/或逻辑文件/文件夹结构采集到取证格式 Zff。

安装

先决条件

首先，您需要安装 rust 和 cargo 以构建或安装 zffacquire。

之后，您仍然需要 gcc，您可以通过以下方式安装它（取决于发行版）

Debian/Ubuntu

$ sudo apt-get install gcc

Fedora

$ sudo dnf install gcc

然后您可以使用 cargo 轻松构建此工具

[/home/ph0llux/projects/zffacquire] $ cargo build --release

或者您可以直接从 crates.io 安装此工具

$ cargo install zffacquire

用法

要使用默认参数创建一个镜像，以下命令就足够了

zffacquire physical -i /dev/sda -o /media/usb-hdd/my_zff_container

您也可以将逻辑文件夹结构转储到逻辑 zff 容器中

zffacquire logical -i /home/ph0llux/pictures -o /media/usb-hdd/my_zff_container

您还可以通过添加额外的容器来扩展 zff 容器

zffacquire physical -i /dev/sda -o /media/usb-hdd/my_zff_container
zffacquire extend logical -i /home/ph0llux/pictures -a /media/usb-hdd/my_zff_container.z01
zffacquire extend physical -i /dev/sdb -a /media/usb-hdd/my_zff_container.z01

使用 zffacquire -h 可以显示 zffacquire 的完整功能集。