Cdude1909/UEFI-DISK-CLONER

# UEFI 磁盘克隆器 **无操作系统数据获取工具** 一款独立的 UEFI 取证磁盘克隆应用程序，设计运行在固件层。该工具无需任何操作系统凭据，即可在气隙隔离、锁定或对篡改敏感的环境中对存储设备进行位级精确的镜像克隆。 []() [](https://uefi.org/) []() ### ⚠️ 免责声明： ``` **IT DOES NOT DECRYPT THE ENCRYTPTED DISK [ BITLOCKER OR DISLOCKER or FILEVAULT ]. It will create replica of the disk in whichever state it was before the Shutdown. ** IT IS IN BETA STAGE , Please raise Queries if issues found. ``` ## 🚀 概述 UEFI 磁盘克隆器是一款取证工具，作为 `.efi` 二进制文件直接从 UEFI 固件执行。它完全绕过操作系统，为数字取证提供对存储设备无限制的访问权限。 | 特性 | 描述 | | :--- | :--- | | **无需密码** | 绕过操作系统级别的身份验证以访问原始数据。 | | **位级精确扇区复制** | 创建源磁盘精确的、逐扇区的克隆，保留包括分区表和未分配空间在内的所有数据。 | | **完整性校验** | 支持 SHA-256、SHA-1 和 MD5 哈希校验，确保证据完整性以符合法庭采信标准。 | | **操作系统前执行** | 运行在固件层，确保目标操作系统的零干扰。 | ## ✨ 核心特性 - **UEFI 原生应用**：作为独立的 `.efi` 二进制文件运行，可从 USB 驱动器启动。 - **断电可恢复克隆**：将进度保存到 NVRAM，可在断电后恢复长达数小时的镜像操作而无需重新开始。 - **固件安全的 I/O 调度**：防止硬件超时，确保在缓慢或发生故障的驱动器上也能可靠运行。 - **跨平台兼容性**：适用于任何配备 UEFI 固件的 x86_64 系统，包括 Intel MacBook。 - **真实场景验证**：已在超过 21 起真实取证调查中成功部署。 - **部分分区克隆**：您也可以仅克隆分区，但 GPT 保留将会失效，因此磁盘的其余部分将变为未分配状态。不过，这在某些时候可能会有所帮助 ;) ## 步骤： ``` 1) PLACE it in EFI folder of Bootable USB : /efi/BOOT/BOOTx64.efi 2) Boot from USB, My efi will load automatically (For secure boot, check [Ventoy-efi](https://www.ventoy.net/en/index.html) 3) Select Source & Destination disk, ⚠️ MAKE SURE DESTINATION DISK IS CORRECTLY SELECTED AS IT WILL BE OVERWRITTEN! 4) You can also select Hashing method and calculate hash to verify if full disk is cloned. ``` ## 🛠️ 基础架构

标签：UEFI, 固件级应用, 数字取证, 数据获取, 磁盘克隆, 自动化脚本