# Kali Linux电子取证模式 BackTrack Linux引入了”Forensic Boot”启动选项,BackTrack 5里也有,现在Kali Linux里依然有这个选项.由于Backtrack Linux的广泛传播,”Forensic Boot”也被证明是非常的流行.许多人都备着Kali Linux，以便在需要取证时方便的用上.它集成了流行的开源取证工具,Kali是在你需要做开源取证工作时非常趁手的工具. [](img/kali-forensics-mode.png) 启动到”forensic boot”模式后,你会发现这个模式有一些非常重要的改变. 1. 首先,不会触及到内部硬盘.这意味着SWAP分区和内部硬盘分区不会被自动挂载.为了验证这一点,我们找来一个标准系统然后拆掉硬盘.用商业的取证软件获取这块硬盘的Hash.然后再把它接回到电脑上用Kali的取证启动模式启动.在使用了Kali一段时间后,我们关机,再次拆除硬盘并获取它的Hash.两个Hash一致,表明了硬盘没有任何改变. 2. 其次,很重要的一点,我们修改了”自动挂载任意可卸载媒体”为禁用.所以插入U盘,光盘,等等时将不会被自动挂载.这个想法的由来很简单:用户不操作不会改变任何媒介.产生改变都是用户所为. 如果你有兴趣在现实中用Kali任意类型的取证,我们希望你不要以为我们只是在危言耸听.不管在什么情况下使用取证工具都应该确保知道它们在做什么. 最后,鉴于Kali一直专注于容纳各种优秀的开源渗透测试软件.也许我们漏掉了你最喜欢的开源工具,如果是这种情况的话,[请给我们反馈!](http://bugs.kali.org "Kali Bug Tracker") 我们一直着眼于寻找和集成高质量的开源工具以让Kali系统变的更好.