# Kali Linux電子取證模式 BackTrack Linux引入了”Forensic Boot”啟動選項,BackTrack 5里也有,現在Kali Linux里依然有這個選項.由于Backtrack Linux的廣泛傳播,”Forensic Boot”也被證明是非常的流行.許多人都備著Kali Linux，以便在需要取證時方便的用上.它集成了流行的開源取證工具,Kali是在你需要做開源取證工作時非常趁手的工具. [](img/kali-forensics-mode.png) 啟動到”forensic boot”模式后,你會發現這個模式有一些非常重要的改變. 1. 首先,不會觸及到內部硬盤.這意味著SWAP分區和內部硬盤分區不會被自動掛載.為了驗證這一點,我們找來一個標準系統然后拆掉硬盤.用商業的取證軟件獲取這塊硬盤的Hash.然后再把它接回到電腦上用Kali的取證啟動模式啟動.在使用了Kali一段時間后,我們關機,再次拆除硬盤并獲取它的Hash.兩個Hash一致,表明了硬盤沒有任何改變. 2. 其次,很重要的一點,我們修改了”自動掛載任意可卸載媒體”為禁用.所以插入U盤,光盤,等等時將不會被自動掛載.這個想法的由來很簡單:用戶不操作不會改變任何媒介.產生改變都是用戶所為. 如果你有興趣在現實中用Kali任意類型的取證,我們希望你不要以為我們只是在危言聳聽.不管在什么情況下使用取證工具都應該確保知道它們在做什么. 最后,鑒于Kali一直專注于容納各種優秀的開源滲透測試軟件.也許我們漏掉了你最喜歡的開源工具,如果是這種情況的話,[請給我們反饋!](http://bugs.kali.org "Kali Bug Tracker") 我們一直著眼于尋找和集成高質量的開源工具以讓Kali系統變的更好.