线缆获取镜像协议：实验室模块效果

该实验室模块的目的是，描述经由网络线缆获取镜像的操作步骤。当不能从计算机中移除硬盘的时候，可以采取这种方法。所用的设备是，取证计算机、网络交叉线缆或并行线缆、已经擦除或者格式化过的目标介质、相关取证软件。

该实验室模块的局限是，有物理或机械损坏的介质及电子损坏的介质，可能难以成功获得完整的镜像；检验者应该注意，为了使用网络交叉线缆，嫌疑计算机必须装备有网卡，取证工具盘必须包含网卡的DOS驱动。

具体程序是，要求取证工具必须可以在DOS或是Linux环境下运行：

（1）检查嫌疑计算机的BIOS/CMOS设置，但是注意，不能进入或启动嫌疑硬盘；

（2）检查BIOS/CMOS设置，确保嫌疑计算机是可以从相连接的可移动设备启动的；

（3）如可能的话，关闭BISO中所有的节能功能；

（4）一旦BIOS/CMOS设置因为检查而改变，关闭嫌疑计算机，重新将嫌疑硬盘驱动器与嫌疑电脑连接；

（5）准备一块硬盘用以存储镜像，并将之连接到取证计算机上；(www.zuozong.com)

（6）通过进入DOS/Linux系统，将嫌疑计算机设置为服务器模式；在服务器模式下，嫌疑计算机可以向取证计算机以安全模式传输数据，实现镜像（在安装取证计算机之前总是要将嫌疑计算机设置为服务器模式）；

（7）使用网络交叉线缆将嫌疑计算机与取证计算机的网卡互相连接；

（8）一旦启动嫌疑计算机，按照工具使用说明运行嫌疑计算机上的取证功能；

（9）启动取证计算机进入DOS/Linux系统，在客户模式下安装取证计算机（客户模式是指在DOS/Linux系统下，取证计算机可以从嫌疑计算机处安全地镜像数据）；

（10）在镜像嫌疑硬盘之前，获取其Hash值；

（11）完成镜像以后，遵照提示关闭服务器/客户机模式，并关闭嫌疑计算机。