计算机取证时需要为计算机生成一个位镜像拷贝 , 这需要在系统还在运行的时候，或至少要在系统关闭之前进行。“位镜像拷贝”是指对硬件驱动器上每一位进行拷贝，它不考虑操作系统是如何解析这些位的，所以 它不是对每一个文件的拷贝。因为位镜像拷贝包含了一些被删除了的数据和文件的分段，而这些分段是被操作系统隐藏的，所以位镜像拷贝比文件级的镜像拷贝更优 越。在生成一个磁盘的镜像并将其通过网络存放在另一台电脑的过程中，你仅仅需要两个工具：通用的 GNU/Linux 工具 dd/dcfldd。

guymager 是将 dd 与 dcfldd 命令转换为图形化接口，方便取证人员及事件恢复人员建立镜像，但其只支持 Linux 系统；使用者可选择利用 dd 或是 dcfldd 來制作镜像、可透过 MD5 或是 SHA-1 來验证镜像、镜像可利用 gzip/bzip2 进行压缩等。

您可能感兴趣的文章: