Jak používat příkaz dd ve forenzní oblasti

Při použití příkazového řádku v Ubuntu možná budete muset zkopírovat soubor z jednoho místa na druhé. Možná budete také chtít zajistit, aby byla data přesně zkopírována. Řekněme například, že chcete zálohu disku a chcete se ujistit, že je přesně zálohován. K provedení této akce můžete použít dd (Výpis dat) nástroj příkazového řádku dostupný v mnoha distribucích Linuxu, jako jsou Ubuntu a Fedora. The dd nástroj je integrovaný nástroj příkazového řádku a před použitím tohoto nástroje jej nemusíte instalovat. Základním účelem tohoto příkazu je přenášet data z jedné jednotky na druhou a zároveň zajistit, aby se nezměnila samotná data. Schopnost tohoto nástroje přesně přesouvat data z jednoho zařízení do druhého z něj dělá oblíbený nástroj pro zálohování vašich dat. Bez md5sum se dd nástroj přenáší data pouze z disku na disk, ale pokud používáte dd nástroj s md5sum, pak můžete zajistit, že přenos dat nebude poškozen. Tento výukový program pojednává o několika různých případech použití dd velení, zejména v kontextu Forenzní.

Začínáme s příkazem dd

Chcete-li začít s dd příkaz, nejprve otevřete terminál stisknutím Ctrl + Alt + T. Potom spusťte následující příkaz:

[chráněno e-mailem]: ~ $ man dd

Spuštěním výše uvedeného příkazu se zobrazí uživatelská příručka k dd příkaz. The dd příkaz se používá u některých parametrů. Chcete-li zobrazit všechny dostupné parametry, spusťte v terminálu následující příkaz:

[chráněno e-mailem]: ~ $ dd --help

Výše uvedený příkaz vám poskytne všechny dostupné možnosti, které lze použít s dd příkaz. Tento článek nebude pojednávat o všech dostupných možnostech, ale pouze o těch, které se vztahují k danému tématu. Níže jsou uvedeny některé z nejdůležitějších parametrů dd příkaz:

bs = B: Tento parametr nastavuje počet bajtů B, které lze kdykoli číst nebo zapisovat při vytváření obrazového souboru disku. Výchozí hodnota bs je 512 bajtů.
cbs = B: Tento parametr nastavuje počet bajtů B, které lze převést najednou během libovolného procesu.
count = N: Tento parametr nastavuje počet N vstupních bloků dat ke kopírování.
if = DEST: Tento parametr přebírá soubor z cíle DEST.
z = DEST: Tento parametr uloží soubor do cílového cíle DEST.

Důležité podmínky ke kontrole

V tomto kurzu, zatímco diskutujeme o dd příkaz v forenzním kontextu, použijeme některé technické termíny, se kterými musíte být obeznámeni, než projdete tutoriálem. Následují termíny, které budou v tomto kurzu použity opakovaně:

Kontrolní součet MD5: Kontrolní součet MD5 je 32místný řetězec generovaný hashovacím algoritmem, který je jedinečný pro různá data. Žádné dva různé soubory nemohou mít stejný kontrolní součet MD5.
md5sum: Md5sum je obslužný program příkazového řádku používaný k implementaci 128bitového hashovacího algoritmu a také se používá ke generování kontrolního součtu MD5 jedinečných dat. V tutoriálu v tomto článku použijeme md5sum ke generování kontrolních součtů dat MD5.
Soubor obrazu disku: Soubor obrazu disku je přesnou kopií disku, ze kterého je vytvořen. Můžeme říci, že se jedná o momentový snímek disku. V případě potřeby můžeme z tohoto obrazového souboru disku obnovit naše data na disku. Tento soubor má přesně stejnou velikost jako samotný disk. Budeme používat dd příkaz k vytvoření souboru obrazu disku z disku.

Přehled výukového programu

V tomto tutoriálu vytvoříme záložní systém a ověříme, zda jsou data přesně zálohována pomocí dd a md5sum příkazy. Nejprve určíme disk, ze kterého chceme vytvořit zálohu. Dále použijeme dd obslužný program příkazového řádku k vytvoření obrazového souboru disku. Poté vytvoříme kontrolní součty MD5 souboru disku i obrazu disku, abychom ověřili, zda je soubor obrazu disku přesný. Poté obnovíme disk ze souboru obrazu disku. Poté vygenerujeme kontrolní součet MD5 obnoveného disku a ověříme jej porovnáním s kontrolním součtem MD5 původního disku. Nakonec změníme soubor obrazu disku a vytvoříme kontrolní součet MD5 z tohoto změněného souboru obrazu disku, abychom otestovali přesnost. Kontrolní součet MD5 změněného obrazového souboru disku by neměl být stejný jako kontrolní soubor původního souboru.

Příkaz dd ve forenzním kontextu

The dd příkaz je standardně dodáván s mnoha distribucemi Linuxu (Fedora, Ubuntu atd.). Kromě provádění jednoduchých akcí s daty, dd Příkaz lze také použít k provedení některých základních forenzních úkolů. V tomto kurzu použijeme dd velení spolu s md5sum, k ověření přesného vytvoření obrazu disku z původního disku.

Kroky, které je třeba následovat

Níže jsou uvedeny kroky potřebné k ověření obrazu zvukového disku pomocí md5sum a dd příkazy.

Vytvořte kontrolní součet MD5 disku pomocí md5sum příkaz
Vytvořte obrazový soubor disku pomocí dd příkaz
Vytvořte kontrolní součet MD5 obrazového souboru pomocí md5sum příkaz
Porovnejte kontrolní součet MD5 obrazového souboru disku s kontrolním součtem MD5 disku
Obnovte disk ze souboru obrazu disku
Vytvořte kontrolní součet MD5 obnoveného disku
Otestujte kontrolní součet MD5 proti změněnému obrazovému souboru
Porovnejte všechny kontrolní součty MD5

Nyní budeme podrobně diskutovat o všech krocích, abychom lépe ukázali, jak věci fungují s těmito příkazy.

Vytváření kontrolního součtu MD5 disku

Nejprve se přihlaste jako uživatel root. Chcete-li se přihlásit jako uživatel root, spusťte v terminálu následující příkaz. Poté budete vyzváni k zadání hesla. Zadejte své heslo root a začněte jako uživatel root.

[chráněno e-mailem]: ~ $ sudo su

Před vytvořením kontrolního součtu MD5 nejprve vyberte disk, který chcete použít. Chcete-li zobrazit seznam všech dostupných disků v zařízení, spusťte v terminálu následující příkaz:

[chráněno e-mailem]: ~ $ df -h

Pro tento tutoriál použiji / dev / sdb1 disk k dispozici v mém zařízení. Ze svého zařízení si můžete vybrat vhodný disk, který chcete použít.

POZNÁMKA: Vyberte tento disk moudře a použijte dd obslužný program příkazového řádku v bezpečném prostředí, protože pokud nebude používán správně, může mít zničující účinky na váš disk.

Vytvořte originální soubor MD5 v souboru / média soubor a spuštěním příkazu md5sum v terminálu vytvořte kontrolní součet MD5 disku.

[chráněno e-mailem]: ~ $ touch / media / originalMD5
[chráněno e-mailem]: ~ $ md5sum / dev / sdb1> / media / originalMD5

Když spustíte výše uvedené příkazy, vytvoří soubor v cíli určeném parametrem a uloží do souboru kontrolní součet MD5 disku (v tomto případě / dev / sdb1).

POZNÁMKA: Spuštění příkazu md5sum může nějakou dobu trvat, v závislosti na velikosti disku a rychlosti procesoru vašeho systému.

Kontrolní součet MD5 disku si můžete přečíst spuštěním následujícího příkazu v terminálu, který poskytne kontrolní součet i název disku:

[chráněno e-mailem]: ~ $ cat / media / originalMD5

Vytvoření obrazového souboru disku

Nyní použijeme dd příkaz k vytvoření obrazového souboru disku. Spuštěním následujícího příkazu v terminálu vytvořte obrazový soubor.

[chráněno e-mailem]: ~ $ dd if = / dev / sdb1 of = / media / diskImage.img bs = 1k

Tím se vytvoří soubor v zadaném umístění. The dd příkaz nefunguje sám. V tomto příkazu musíte také určit některé možnosti. Možnosti obsažené v dd příkaz mají následující význam:

Li: Cesta k zadání obrazu souboru nebo jednotky ke kopírování.
z: Cesta k výstupu obrazového souboru získaného z -li
bs: Velikost bloku; v tomto příkladu používáme velikost bloku 1k nebo 1024B.

POZNÁMKA: Nepokoušejte se číst nebo otevírat obrazový soubor disku, protože má stejnou velikost jako váš disk a můžete skončit s podaným systémem. Nezapomeňte také moudře zadat umístění tohoto souboru kvůli jeho větší velikosti.

Vytvoření kontrolního součtu MD5 obrazového souboru

Vytvoříme kontrolní součet MD5 souboru obrazu disku vytvořeného v předchozím kroku pomocí stejného postupu jako v prvním kroku. Spuštěním následujícího příkazu v terminálu vytvořte kontrolní součet MD5 souboru obrazu disku:

[chráněno e-mailem]: ~ $ md5sum / media / diskImage.img> / media / imageMD5

Tím se vytvoří kontrolní součet MD5 souboru obrazu disku. Nyní máme k dispozici následující soubory:

Kontrolní součet MD5 disku
Soubor obrazu disku na disku
Kontrolní součet MD5 obrazového souboru

Porovnání kontrolních součtů MD5

Zatím jsme vytvořili kontrolní součet MD5 disku a obrazového souboru disku. Dále zkontrolujeme, zda byl vytvořen přesný obraz disku, porovnáme kontrolní součty samotného disku a souboru obrazu disku. Chcete-li vytisknout text obou souborů a porovnat je, zadejte do terminálu následující příkazy:

[chráněno e-mailem]: ~ $ cat / media / originalMD5
[chráněno e-mailem]: ~ $ cat / media / imageMD5

Tyto příkazy zobrazí obsah obou souborů. Kontrolní součet MD5 obou souborů musí být stejný. Pokud kontrolní součty MD5 souborů nejsou stejné, při vytváření souboru obrazu disku musel dojít k problému.

Obnovení disku ze souboru obrázku

Dále obnovíme původní disk ze souboru obrazu disku pomocí dd příkaz. Chcete-li obnovit původní disk ze souboru obrazu disku, zadejte do terminálu následující příkaz:

[chráněno e-mailem]: ~ $ dd if = / media / diskImage.obrázek = / dev / sdb1 bs = 1k

Výše uvedený příkaz je podobný příkazu použitému k vytvoření obrazového souboru disku. V tomto případě se však přepne vstup a výstup, čímž se obrátí tok dat a obnoví se disk ze souboru obrazu disku. Po zadání výše uvedeného příkazu jsme nyní obnovili náš disk ze souboru obrazu disku.

Vytvoření kontrolního součtu MD5 obnoveného disku

Dále vytvoříme kontrolní součet MD5 disku obnoveného ze souboru obrazu disku. Zadejte následující příkaz k vytvoření kontrolního součtu MD5 obnoveného disku:

[chráněno e-mailem]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Pomocí výše uvedeného příkazu jsme vytvořili kontrolní součet MD5 obnoveného disku a zobrazili jej v terminálu. Můžeme porovnat kontrolní součet MD5 obnoveného disku s kontrolním součtem MD5 původního disku. Pokud jsou oba stejné, znamená to, že jsme přesně obnovili náš disk z obrazu disku.

Testování kontrolního součtu MD5 proti změněnému obrazovému souboru

Doposud jsme porovnávali kontrolní součty MD5 přesně vytvořených disků a obrazových souborů disku. Dále použijeme tuto forenzní analýzu ke kontrole přesnosti změněného obrazového souboru disku. Spusťte následující příkaz v terminálu a změňte soubor obrazu disku.

[chráněno e-mailem]: ~ $ echo „abcdef“ >> / media / diskImage.obr

Nyní jsme změnili náš obrazový soubor disku a už není stejný jako dříve. Všimněte si, že jsem místo „> použil znak„ >> “.„To znamená, že jsem místo přepsání připojil soubor obrazu disku. Dále vytvoříme další kontrolní součet MD5 změněného obrazového souboru disku pomocí příkazu md5sum v terminálu.

[chráněno e-mailem]: ~ $ md5sum / media / diskImage.img> / media / changedMD5

Zadáním tohoto příkazu se vytvoří kontrolní součet MD5 změněného obrazového souboru disku. Nyní máme následující soubory:

Původní kontrolní součet MD5
Kontrolní součet obrazu disku MD5
Kontrolní součet obnoveného disku MD5
Kontrolní součet obrazu disku MD5 byl změněn

Porovnáváme všechny kontrolní součty MD5

Naši diskusi zakončíme porovnáním všech kontrolních součtů MD5 vytvořených během tohoto kurzu. Použijte kočka příkaz pro čtení všech souborů kontrolního součtu MD5 a jejich vzájemné porovnání:

[chráněno e-mailem]: ~ $ cat / media / * MD5

Výše uvedený příkaz zobrazí obsah všech souborů kontrolního součtu MD5. Z výše uvedeného obrázku vidíme, že všechny kontrolní součty MD5 jsou stejné, kromě horního, který byl vytvořen se změněným souborem obrazu disku. Tímto způsobem tedy můžeme ověřit přesnost souborů pomocí dd a md5sum příkazy.

Závěr

Vytvoření zálohy vašich dat je důležitá strategie pro její obnovení v případě katastrofy, ale záloha je k ničemu, pokud dojde k poškození vašich dat uprostřed přenosu. Abyste zajistili přesnost přenosu dat, můžete pomocí některých nástrojů provádět akce s daty a ověřit, zda byla data během procesu kopírování poškozena.

The dd command je vestavěný nástroj příkazového řádku používaný k vytváření obrazových souborů dat uložených na discích. Můžete také použít md5sum příkaz k vytvoření kontrolního součtu MD5 nově vytvořeného obrazu, který ověřuje přesnost kopírovaných dat, k provedení forenzní analýzy na přenesených datech spolu s dd příkaz. Tento tutoriál pojednával o tom, jak používat dd a md5sum nástroje v forenzním kontextu k zajištění přesnosti kopírovaných dat na disku.