zff-team/zffacquire

# zffacquire ```zffacquire``` 是一个命令行实用程序，用于将镜像、内存转储和/或逻辑文件/文件夹结构获取到取证格式 ZFF 中。 # 安装说明 ## 从源码构建 (Linux) ### 前置条件 首先，你需要[安装 rust 和 cargo](https://rustup.rs/) 来构建或安装 ```zffacquire```。 之后你仍然需要 gcc，可以通过以下方式安装（取决于发行版）： ###### Debian/Ubuntu ``` $ sudo apt-get install gcc ``` ###### Fedora ``` $ sudo dnf install gcc ``` 然后你可以使用 cargo 轻松自行构建此工具： ``` [/home/ph0llux/projects/zffacquire] $ cargo build --release ``` #### 交叉编译为 Windows 你需要一个交叉编译器，并且应该为 Windows x86 使用目标 ```x86_64-pc-windows-gnu```，或为 Windows on arm64 使用 ```aarch64-pc-windows-msvc```。 必须使用 nightly 编译器，目前的 stable Rust 不支持 Windows 目标（受底层 zff 库限制）。 ``` cargo +nightly build --release --target=x86_64-pc-windows-gnu # for x86 targets cargo +nightly build --release --target=aarch64-pc-windows-msvc # for arm64 targets ``` ## 通过 cargo 安装 ``` Or you can install the tool directly from crates.io: ```bash $ cargo install zffacquire ``` # 使用方法 ## Linux 系统示例 要使用默认参数创建镜像，只需以下命令即可： ``` zffacquire physical -i /dev/sda -o /media/usb-hdd/my_zff_container ``` 你也可以将逻辑文件夹结构转储到逻辑 zff 容器中： ``` zffacquire logical -i /home/ph0llux/pictures -o /media/usb-hdd/my_zff_container ``` 而且你可以通过添加额外的容器来扩展 zff 容器： ``` zffacquire physical -i /dev/sda -o /media/usb-hdd/my_zff_container zffacquire extend logical -i /home/ph0llux/pictures -a /media/usb-hdd/my_zff_container.z01 zffacquire extend physical -i /dev/sdb -a /media/usb-hdd/my_zff_container.z01 ``` ```zffacquire``` 的完整功能集可以使用 ```zffacquire -h``` 查看。 ## Windows 系统示例 在 Windows 上，你可以使用 ```list-devices``` 子命令列出可转储的物理目标。 ``` zffacquire list-devices ``` 如果你想转储完整的物理设备，可以从打印的表格中选择合适的设备（通过使用上面的命令）。 ``` zffacquire physical -i "\\?\PhysicalDrive2" -o my_physical_drive ``` 你也可以只转储单个卷（例如挂载在驱动器 D:\\ 的卷）： ``` zffacquire physical -i "\Device\HarddriveVolume2" -o my_volume_d ``` 在这两种情况下，你必须如图所示使用引号或转义 \\ 字符。 ```zffacquire``` 的完整功能集可以使用 ```zffacquire -h``` 查看。

标签：Ruby on Rails, Rust, ZFF格式, 二进制发布, 内存转储, 可视化界面, 司法鉴定, 域渗透, 存储安全, 库, 应急响应, 开源工具, 数字取证, 数据固证, 数据归档, 数据获取, 文档结构分析, 物理磁盘镜像, 电子数据取证, 磁盘镜像, 网络流量审计, 自动化脚本, 通知系统, 逻辑文件获取