# [Forensic] Collecte de données

## Introduction

Avant votre analyse, il vous faudra collecter les données de votre disque ou votre périphérique. Vous pouvez effectuer une copie physique avec un bloqueur d'écriture de disque mais aussi lancer une distribution en live tel que **Tsurugi Linux** ou **Paladin Linux** pour monter les périphériques en lecture seule.

## DD

```bash
sudo dd if=/dev/sdX of=tmp/myusb.raw bs=512M status=progress
```

Ou pour créer une image d'un système distant :

```bash
ssh root@192.168.122.33 "dd if=/dev/sda bs=512M" | dd of=/root/vm-debian.dd bs=512M
```

## EWF Tools

Cette suite d'outils sur Linux permet de faire une copie bit à bit de votre périphérique au format E01.

Pour cela, lancez **ewfacquire** :

```bash
ewfacquire /dev/sd<X>
```

<p class="callout info">Tout un tas de question vous sera posé. Laissez par défaut pour la plupart mais faite en sorte de n'avoir qu'un seul segment si possible (c'est plus pratique après pour ne pas à avoir à gérer plusieurs fichiers).</p>

Vous pouvez afficher les informations de votre nouveau conteneur :

```bash
ewfinfo myusb.E01
```

Vous pouvez aussi vérifier l'intégrité de votre conteneur :

```bash
ewfverify myusb.E01
```