Kako uporabljati ukaz dd v forenziki

Ko uporabljate ukazno vrstico v Ubuntuju, boste morda morali kopirati datoteko z enega mesta na drugega. Morda se prepričajte tudi, da so podatki natančno kopirani. Recimo na primer, da želite varnostno kopijo diska in se prepričajte, da je pravilno varnostno kopirana. Za izvedbo tega dejanja lahko uporabite dd (Dump podatkov) pripomoček za ukazno vrstico, ki je na voljo v številnih distribucijah Linuxa, kot sta Ubuntu in Fedora. The dd orodje je vgrajen pripomoček za ukazno vrstico in vam ga pred uporabo tega orodja ni treba namestiti. Osnovni namen tega ukaza je prenos podatkov z enega pogona na drugega, hkrati pa poskrbi, da se podatki sami ne spremenijo. Sposobnost tega orodja za natančno premikanje podatkov iz ene naprave v drugo je priljubljeno orodje za varnostno kopiranje podatkov. Brez md5sum je dd orodje prenaša samo podatke iz pogona na pogon, če pa uporabljate dd z md5sum, lahko zagotovite, da prenos podatkov ne bo pokvarjen. Ta vadnica bo obravnavala nekatere različne primere uporabe dd ukaz, zlasti v okviru Forenzika.

Uvod v ukaz dd

Za začetek dd najprej odprite terminal s pritiskom na Ctrl + Alt + T. Nato zaženite naslednji ukaz:

[e-pošta zaščitena]: ~ $ man dd

Zagon zgornjega ukaza bo prikazal uporabniški priročnik za dd ukaz. The dd ukaz se uporablja z nekaterimi parametri. Če želite našteti vse razpoložljive parametre, v terminalu zaženite naslednji ukaz:

[e-pošta zaščitena]: ~ $ dd --help

Zgornji ukaz vam bo dal vse razpoložljive možnosti, ki jih lahko uporabite z dd ukaz. Ta članek ne bo obravnaval vseh razpoložljivih možnosti, ampak samo tiste, ki so povezane z dano temo. Spodaj so navedeni nekateri najpomembnejši parametri dd ukaz:

• bs = B: Ta parameter nastavi število bajtov B, ki jih je mogoče kadar koli prebrati ali zapisati pri ustvarjanju datoteke s sliko diska. Privzeta vrednost bs je 512 bajtov.
• cbs = B: Ta parameter nastavi število bajtov B, ki jih je mogoče pretvoriti naenkrat med katerim koli postopkom.
• štetje = N: Ta parameter nastavi število N vhodnih blokov podatkov, ki jih želite kopirati.
• če = DEST: Ta parameter vzame datoteko s ciljnega DEST.
• od = DEST: Ta parameter shrani datoteko v ciljni DEST.

Pomembni pogoji za pregled

V tej vadnici med razpravo o dd ukaz v okviru forenzike, bomo uporabili nekaj tehničnih izrazov, ki jih morate poznati, preden se lotite vadnice. Sledijo izrazi, ki bodo večkrat uporabljeni v vadnici:

• Kontrolna vsota MD5: Kontrolna vsota MD5 je 32-mestni niz, ki ga ustvari algoritem zgoščevanja, ki je edinstven za različne podatke. Dve različni datoteki ne moreta imeti iste kontrolne vsote MD5.
• md5sum: Md5sum je pripomoček ukazne vrstice, ki se uporablja za izvajanje 128-bitnega algoritma zgoščevanja in se uporablja tudi za ustvarjanje kontrolne vsote MD5 edinstvenih podatkov. V vaji v tem članku bomo uporabili md5sum za ustvarjanje kontrolnih vsot podatkov MD5.
• Slikovna datoteka diska: Datoteka s sliko diska je natančna kopija diska, iz katerega je ustvarjena. Lahko rečemo, da gre za trenutni posnetek diska. Po potrebi lahko iz te slikovne datoteke obnovimo podatke o disku. Ta datoteka je popolnoma enaka velikosti samega diska. Uporabili bomo dd ukaz za ustvarjanje slikovne datoteke diska z diska.

Pregled vadnice

V tej vadnici bomo ustvarili sistem za varnostno kopiranje in preverili, ali so podatki pravilno varnostno kopirani z dd in md5sum ukazi. Najprej bomo določili disk, za katerega želimo ustvariti varnostno kopijo. Nato bomo uporabili dd pripomoček ukazne vrstice za ustvarjanje slikovne datoteke diska diska. Nato bomo ustvarili kontrolne vsote MD5 tako za datoteko diska kot za slikovno datoteko diska, da preverimo, ali je datoteka sliko diska točna. Po tem bomo obnovili disk iz slikovne datoteke diska. Nato bomo ustvarili kontrolno vsoto MD5 obnovljenega diska in jo preverili s primerjavo s kontrolno vsoto MD5 izvirnega diska. Končno bomo spremenili datoteko slike diska in iz te spremenjene datoteke slike diska ustvarili kontrolno vsoto MD5, da bomo preizkusili natančnost. Kontrolna vsota MD5 spremenjene datoteke slike diska ne sme biti enaka kontrolni vsoti prvotne datoteke.

Ukaz dd v forenzičnem kontekstu

The dd ukaz privzeto prihaja z mnogimi distribucijami Linuxa (Fedora, Ubuntu itd.). Poleg izvajanja preprostih dejanj s podatki, dd ukaz lahko uporabite tudi za izvajanje nekaterih osnovnih forenzičnih nalog. V tej vadnici bomo uporabili dd ukaz, skupaj z md5sum, za preverjanje natančnega ustvarjanja slike diska z originalnega diska.

Koraki

Spodaj so navedeni koraki za preverjanje slike zvočnega diska s pomočjo md5sum in dd ukazi.

• Ustvarite MD5 kontrolno vsoto diska s pomočjo md5sum ukaz
• Ustvarite slikovno datoteko diska z dd ukaz
• Ustvarite kontrolno vsoto MD5 slikovne datoteke s pomočjo md5sum ukaz
• Primerjajte kontrolno vsoto MD5 datoteke slike diska s kontrolno vsoto MD5 diska
• Obnovite disk iz slikovne datoteke diska
• Ustvarite kontrolno vsoto MD5 obnovljenega diska
• Preizkusite kontrolno vsoto MD5 glede na spremenjeno slikovno datoteko
• Primerjajte vse kontrolne vsote MD5

Zdaj bomo podrobno razpravljali o vseh korakih, da bomo bolje pokazali, kako stvari delujejo s temi ukazi.

Ustvarjanje MD5 kontrolne vsote diska

Za začetek se najprej prijavite kot korenski uporabnik. Če se želite prijaviti kot korenski uporabnik, v terminalu zaženite naslednji ukaz. Nato boste pozvani k vnosu gesla. Vnesite svoje korensko geslo in začnite kot korenski uporabnik.

[e-pošta zaščitena]: ~ $ sudo su

Preden ustvarite kontrolno vsoto MD5, najprej izberite disk, ki ga želite uporabiti. Če želite seznam vseh razpoložljivih diskov v napravi, v terminalu zaženite naslednji ukaz:

[e-pošta zaščitena]: ~ $ df -h

Za to vadnico bom uporabil / dev / sdb1 disk, ki je na voljo v moji napravi. Iz naprave lahko izberete ustrezen disk, ki ga želite uporabiti.

OPOMBA: Pametno izberite ta disk in uporabite dd pripomoček ukazne vrstice v varnem okolju, saj ima lahko disk, če ga ne uporabljate pravilno, uničujoče.

Ustvarite izvirno datoteko MD5 v / mediji datoteko in v terminalu zaženite ukaz md5sum, da ustvarite kontrolno vsoto MD5 diska.

[zaščiteno po e-pošti]: ~ $ touch / media / originalMD5
[zaščitena po e-pošti]: ~ $ md5sum / dev / sdb1> / media / originalMD5

Ko zaženete zgornje ukaze, ustvari datoteko na cilju, ki ga določa parameter, in shrani kontrolno vsoto MD5 diska (v tem primeru / dev / sdb1) v datoteko.

OPOMBA: Zagon ukaza md5sum lahko traja nekaj časa, odvisno od velikosti diska in hitrosti procesorja vašega sistema.

Kontrolno vsoto diska MD5 lahko preberete tako, da v terminalu zaženete naslednji ukaz, ki bo dal kontrolno vsoto in ime diska:

[zaščiteno po e-pošti]: ~ $ cat / media / originalMD5

Ustvarjanje slikovne datoteke diska

Zdaj bomo uporabili dd ukaz za ustvarjanje slikovne datoteke diska. V terminalu zaženite naslednji ukaz, da ustvarite slikovno datoteko.

[zaščiteno po e-pošti]: ~ $ dd, če = / dev / sdb1 od = / media / diskImage.img bs = 1k

S tem boste ustvarili datoteko na določenem mestu. The dd ukaz ne deluje sam. V tem ukazu morate določiti tudi nekatere možnosti. Možnosti, vključene v dd ukaz ima naslednji pomen:

• Če: Pot za vnos slike datoteke ali pogona, ki ga želite kopirati.
• od: Pot do izpisa slikovne datoteke, pridobljene iz datoteke če
• bs: Velikost bloka; v tem primeru uporabljamo velikost bloka 1k ali 1024B.

OPOMBA: Ne poskušajte brati ali odpirati slikovne datoteke diska, saj je enake velikosti vašega diska in lahko boste na koncu dobili predani sistem. Prav tako ne pozabite pametno določiti lokacije te datoteke zaradi večje velikosti.

Ustvarjanje kontrolne vsote MD5 slikovne datoteke

Ustvarili bomo kontrolno vsoto MD5 za datoteko slike diska, ustvarjeno v prejšnjem koraku, po enakem postopku kot v prvem koraku. V terminalu zaženite naslednji ukaz, da ustvarite kontrolno vsoto MD5 datoteke sliko diska:

[zaščiteno po e-pošti]: ~ $ md5sum / media / diskImage.img> / media / imageMD5

To bo ustvarilo kontrolno vsoto MD5 za datoteko slike diska. Zdaj imamo na voljo naslednje datoteke:

• MD5 kontrolna vsota diska
• Diskovna slikovna datoteka diska
• MD5 kontrolna vsota slikovne datoteke

Primerjava kontrolnih vsot MD5

Do zdaj smo ustvarili kontrolno vsoto MD5 diska in slikovne datoteke diska. Nato bomo za preverjanje, ali je bila ustvarjena natančna slika diska, primerjali kontrolne vsote samega diska in datoteke slike diska. V svoj terminal vnesite naslednje ukaze, da natisnete besedilo obeh datotek in primerjate dve datoteki:

[zaščitena po e-pošti]: ~ $ cat / media / originalMD5
[zaščiteno po e-pošti]: ~ $ cat / media / imageMD5

Ti ukazi bodo prikazali vsebino obeh datotek. Kontrolna vsota MD5 obeh datotek mora biti enaka. Če kontrolne vsote datotek MD5 niso enake, je pri ustvarjanju datoteke sliko diska verjetno prišlo do težave.

Obnovitev diska iz slikovne datoteke

Nato bomo obnovili izvirni disk iz slikovne datoteke diska s pomočjo dd ukaz. V terminal vnesite naslednji ukaz, da obnovite izvirni disk iz slikovne datoteke diska:

[zaščiteno po e-pošti]: ~ $ dd if = / media / diskImage.img of = / dev / sdb1 bs = 1k

Zgornji ukaz je podoben tistemu, ki se uporablja za ustvarjanje slikovne datoteke diska na disku. V tem primeru pa se vhod in izhod preklopita in obrneta tok podatkov, da obnovite disk iz slikovne datoteke diska. Po vnosu zgornjega ukaza smo zdaj obnovili naš disk iz slikovne datoteke diska.

Ustvarjanje kontrolne vsote MD5 obnovljenega diska

Nato bomo ustvarili kontrolno vsoto MD5 za disk, obnovljen iz slikovne datoteke diska. Vnesite naslednji ukaz, da ustvarite kontrolno vsoto MD5 obnovljenega diska:

[zaščiteno po e-pošti]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Z zgornjim ukazom je ustvaril kontrolno vsoto MD5 obnovljenega diska in jo prikazal v terminalu. Kontrolno vsoto MD5 obnovljenega diska lahko primerjamo s kontrolno vsoto MD5 izvirnega diska. Če sta oba enaka, to pomeni, da smo disk natančno obnovili iz slike diska.

Testiranje kontrolne vsote MD5 glede na spremenjeno slikovno datoteko

Doslej smo primerjali kontrolne vsote MD5 za natančno ustvarjene diske in slikovne datoteke diska. Nato bomo s to forenzično analizo preverili natančnost spremenjene slikovne datoteke diska. Datoteko slike diska spremenite tako, da v terminalu zaženete naslednji ukaz.

[zaščiteno po e-pošti]: ~ $ echo “abcdef” >> / media / diskImage.img

Zdaj smo spremenili svojo slikovno datoteko diska in ni več enaka kot prej. Upoštevajte, da sem namesto „> uporabil znak“ >>.”To pomeni, da sem dodal datoteko slike diska, namesto da bi jo prepisal. Nato bomo z uporabo ukaza md5sum v terminalu ustvarili še eno kontrolno vsoto MD5 spremenjene datoteke slike diska.

[zaščiteno po e-pošti]: ~ $ md5sum / media / diskImage.img> / media / spremenjenoMD5

Če vnesete ta ukaz, bo ustvarjena kontrolna vsota MD5 spremenjene datoteke slike diska. Zdaj imamo naslednje datoteke:

• Izvirna kontrolna vsota MD5
• Kontrolna vsota slike diska MD5
• Obnovljena kontrolna vsota diska MD5
• Spremenjena kontrolna vsota slike diska MD5

Primerjava vseh kontrolnih vsot MD5

Razpravo bomo zaključili s primerjavo vseh kontrolnih vsot MD5, ustvarjenih med to vadnico. Uporabi mačka ukaz za branje vseh datotek kontrolne vsote MD5 in njihovo primerjavo med seboj:

[zaščitena po e-pošti]: ~ $ cat / media / * MD5

Zgornji ukaz bo prikazal vsebino vseh datotek s kontrolno vsoto MD5. Iz zgornje slike vidimo, da so vse kontrolne vsote MD5 enake, razen zgornje, ki je bila ustvarjena s spremenjeno datoteko slike diska. Tako lahko na ta način preverimo natančnost datotek s pomočjo dd in md5sum ukazi.

Zaključek

Ustvarjanje varnostne kopije podatkov je pomembna strategija za njihovo obnovitev v primeru katastrofe, vendar je varnostna kopija neuporabna, če se vaši podatki poškodujejo sredi prenosa. Če želite zagotoviti natančnost prenosa podatkov, lahko z nekaterimi orodji izvedete dejanja na podatkih, da preverite, ali so bili podatki kopirani med postopkom kopiranja.

The dd command je vgrajen pripomoček ukazne vrstice, ki se uporablja za ustvarjanje slikovnih datotek podatkov, shranjenih na diskih. Uporabite lahko tudi md5sum ukaz za izdelavo kontrolne vsote MD5 na novo ustvarjene slike, ki potrjuje točnost kopiranih podatkov, za izvedbo forenzične analize prenesenih podatkov skupaj z dd ukaz. Ta vadnica je razpravljala o uporabi dd in md5sum orodja v forenzičnem kontekstu za zagotavljanje natančnosti kopiranih podatkov diska.