Kako se koristi naredba dd u forenzici

Kada koristite naredbeni redak u Ubuntuu, možda ćete trebati kopirati datoteku s jednog mjesta na drugo. Također biste trebali provjeriti jesu li podaci točno kopirani. Na primjer, recite da želite sigurnosnu kopiju diska i želite biti sigurni da je sigurnosno kopirana. Da biste izvršili ovu radnju, možete koristiti dd (Dump podataka) uslužni program naredbenog retka dostupan u mnogim Linux distribucijama, kao što su Ubuntu i Fedora. The dd alat je ugrađeni uslužni program naredbenog retka i ne morate ga instalirati prije upotrebe ovog alata. Osnovna svrha ove naredbe je prijenos podataka s jednog pogona na drugi, istovremeno vodeći računa da se sami podaci ne promijene. Sposobnost ovog alata za precizno premještanje podataka s jednog uređaja na drugi čini ga popularnim alatom za izradu sigurnosnih kopija vaših podataka. Bez md5sum, dd alat prenosi podatke samo s pogona na pogon, ali ako koristite dd alat s md5sum, tada možete osigurati da prijenos podataka neće biti oštećen. Ovaj tutorial raspravljat će o nekim različitim slučajevima upotrebe dd zapovijedanje, posebno u kontekstu Forenzika.

Početak rada s naredbom dd

Za početak s dd naredba, prvo otvorite terminal pritiskom na Ctrl + Alt + T. Zatim pokrenite sljedeću naredbu:

[zaštićena e-poštom]: ~ $ man dd

Izvođenjem gornje naredbe prikazat će se korisnički priručnik za dd naredba. The dd naredba se koristi s nekim parametrima. Da biste popisali sve dostupne parametre, u terminalu pokrenite sljedeću naredbu:

[e-pošta zaštićena]: ~ $ dd --help

Gornja naredba dat će vam sve dostupne opcije koje se mogu koristiti s dd naredba. Ovaj članak neće raspravljati o svim dostupnim opcijama, već samo o onim povezanim s danom temom. Ispod su navedeni neki od najvažnijih parametara dd naredba:

• bs = B: Ovaj parametar postavlja broj bajtova B koji se mogu pročitati ili zapisati u bilo kojem trenutku prilikom stvaranja datoteke slike diska. Zadana vrijednost bs je 512 bajtova.
• cbs = B: Ovaj parametar postavlja broj bajtova B koji se mogu pretvoriti u isto vrijeme tijekom bilo kojeg postupka.
• brojanje = N: Ovaj parametar postavlja broj N ulaznih blokova podataka za kopiranje.
• ako je = DEST: Ovaj parametar uzima datoteku s odredišnog DEST-a.
• od = DEST: Ovaj parametar sprema datoteku u odredište DEST.

Važni pojmovi za pregled

U ovom vodiču, dok smo raspravljali o dd naredbe u kontekstu forenzike, poslužit ćemo se nekim tehničkim izrazima koji vam moraju biti poznati prije prolaska kroz tutorial. Slijede pojmovi koji će se više puta koristiti u ovom uputstvu:

• MD5 kontrolna suma: MD5 kontrolna suma je niz od 32 znaka generiran algoritmom raspršivanja koji je jedinstven za različite podatke. Ne mogu dvije različite datoteke imati isti MD5 kontrolni zbroj.
• md5sum: Md5sum je uslužni program naredbenog retka koji se koristi za implementaciju 128-bitnog algoritma raspršivanja, a koristi se i za generiranje MD5 kontrolne sume jedinstvenih podataka. U lekciji iz ovog članka koristit ćemo md5sum za generiranje MD5 kontrolnih suma podataka.
• Datoteka slike diska: Datoteka slike diska točna je kopija diska na kojem je stvorena. Možemo reći da je to trenutna snimka diska. Po potrebi možemo vratiti podatke s diska iz ove datoteke slike diska. Ova je datoteka potpuno iste veličine kao i sam disk. Koristit ćemo dd naredba za stvaranje datoteke slike diska s diska.

Pregled vodiča

U ovom uputstvu stvorit ćemo sustav sigurnosnih kopija i provjeriti jesu li podaci sigurnosno kopirani točno pomoću dd i md5sum naredbe. Prvo ćemo odrediti disk na kojem želimo stvoriti sigurnosnu kopiju. Dalje ćemo koristiti dd uslužni program naredbenog retka za stvaranje datoteke slike diska na disku. Zatim ćemo stvoriti MD5 kontrolne sume i diska i datoteke slike diska kako bismo provjerili je li datoteka slike diska točna. Nakon toga vratit ćemo disk iz datoteke slike diska. Zatim ćemo generirati MD5 kontrolnu sumu vraćenog diska i provjeriti je usporedbom s MD5 kontrolnom sumom izvornog diska. Napokon, promijenit ćemo datoteku slike diska i stvoriti MD5 kontrolnu sumu iz ove promijenjene datoteke slike diska kako bismo testirali točnost. MD5 kontrolna suma promijenjene datoteke slike diska ne bi trebala biti ista kao ona izvorne datoteke.

Naredba dd u forenzičnom kontekstu

The dd naredba dolazi po defaultu s mnogim Linux distribucijama (Fedora, Ubuntu itd.). Osim izvođenja jednostavnih radnji na podacima, dd naredba se također može koristiti za izvršavanje nekih osnovnih forenzičkih zadataka. U ovom uputstvu koristit ćemo dd zapovjedništvo, zajedno s md5sum, za provjeru točnosti stvaranja slike diska s izvornog diska.

Koraci koje treba slijediti

Ispod su koraci potrebni za provjeru slike zvučnog diska pomoću md5sum i dd naredbe.

• Stvorite MD5 kontrolnu sumu diska pomoću md5sum naredba
• Stvorite slikovnu datoteku diska pomoću dd naredba
• Stvorite MD5 kontrolnu sumu slikovne datoteke pomoću md5sum naredba
• Usporedite MD5 kontrolnu sumu datoteke slike diska s MD5 kontrolnom sumom diska
• Vratite disk iz datoteke slike diska
• Stvorite MD5 kontrolnu sumu vraćenog diska
• Testirajte MD5 kontrolnu sumu naspram promijenjene slikovne datoteke
• Usporedite sve MD5 kontrolne sume

Sada ćemo detaljno razgovarati o svim koracima kako bismo bolje pokazali kako stvari funkcioniraju s tim naredbama.

Stvaranje MD5 kontrolne sume diska

Za početak se prvo prijavite kao root korisnik. Da biste se prijavili kao root korisnik, pokrenite sljedeću naredbu u terminalu. Tada ćete zatražiti lozinku. Unesite svoju root lozinku i započnite kao root korisnik.

[e-pošta zaštićena]: ~ $ sudo su

Prije stvaranja MD5 kontrolne sume, prvo odaberite disk koji želite koristiti. Za popis svih dostupnih diskova na uređaju pokrenite sljedeću naredbu u terminalu:

[e-pošta zaštićena]: ~ $ df -h

Za ovaj vodič upotrijebit ću / dev / sdb1 disk dostupan na mom uređaju. Možete odabrati odgovarajući disk sa svog uređaja za upotrebu.

BILJEŠKA: Pametno odaberite ovaj disk i koristite dd uslužni program naredbenog retka u sigurnom okruženju, jer može imati razorne učinke na vašem disku ako se ne koristi pravilno.

Stvorite izvornu MD5 datoteku u / mediji datoteku i pokrenite naredbu md5sum u terminalu da biste stvorili MD5 kontrolnu sumu diska.

[zaštićen e-poštom]: ~ $ touch / media / originalMD5
[zaštićena e-poštom]: ~ $ md5sum / dev / sdb1> / media / originalMD5

Kada pokrenete gornje naredbe, ona stvara datoteku na odredištu navedenom parametrom i sprema MD5 kontrolnu sumu diska (/ dev / sdb1, u ovom slučaju) u datoteku.

BILJEŠKA: Izvođenje naredbe md5sum može potrajati neko vrijeme, ovisno o veličini diska i brzini procesora vašeg sustava.

Možete pročitati MD5 kontrolnu sumu diska pokretanjem sljedeće naredbe u terminalu, koja će dati kontrolnu sumu, kao i naziv diska:

[zaštićen e-poštom]: ~ $ cat / media / originalMD5

Stvaranje slikovne datoteke diska

Sada ćemo koristiti dd naredba za stvaranje slikovne datoteke diska. Izvedite sljedeću naredbu u terminalu da biste stvorili datoteku slike.

[zaštićen e-poštom]: ~ $ dd if = / dev / sdb1 od = / media / diskImage.img bs = 1k

Ovo će stvoriti datoteku na navedenom mjestu. The dd naredba ne djeluje sama. U ovoj naredbi morate navesti i neke opcije. Opcije uključene u dd naredba ima sljedeće značenje:

• Ako: Put za unos slike datoteke ili pogona koji se kopira.
• od: Put do izlaza slikovne datoteke dobivene iz datoteke ako
• bs: Veličina bloka; u ovom primjeru koristimo blok veličine 1k ili 1024B.

BILJEŠKA: Ne pokušavajte čitati ili otvarati datoteku slike diska jer je iste veličine kao i vaš disk i možda ćete na kraju dobiti predani sustav. Također, pripazite da pametno odredite mjesto ove datoteke zbog veće veličine.

Stvaranje MD5 kontrolne sume slikovne datoteke

Stvorit ćemo MD5 kontrolnu sumu datoteke slike diska stvorene u prethodnom koraku koristeći isti postupak izveden u prvom koraku. Izvedite sljedeću naredbu u terminalu da biste stvorili MD5 kontrolnu sumu datoteke slike diska:

[zaštićena e-poštom]: ~ $ md5sum / media / diskImage.img> / media / imageMD5

To će stvoriti MD5 kontrolnu sumu datoteke slike diska. Sada su nam na raspolaganju sljedeće datoteke:

• MD5 kontrolna suma diska
• Datoteka slike diska na disku
• MD5 kontrolna suma slikovne datoteke

Usporedba kontrolnih suma MD5

Do sada smo stvorili MD5 kontrolnu sumu diska i datoteke slike diska. Dalje, da bismo provjerili je li stvorena točna slika diska, usporedit ćemo kontrolne sume i samog diska i datoteke slike diska. Unesite sljedeće naredbe u terminal kako biste ispisali tekst obje datoteke radi usporedbe dviju datoteka:

[zaštićen e-poštom]: ~ $ cat / media / originalMD5
[zaštićena e-poštom]: ~ $ cat / media / imageMD5

Ove će naredbe prikazati sadržaj obje datoteke. MD5 kontrolna suma obje datoteke mora biti ista. Ako MD5 kontrolne sume datoteka nisu iste, sigurno je došlo do problema tijekom stvaranja datoteke slike diska.

Vraćanje diska iz slikovne datoteke

Dalje, vratit ćemo izvorni disk iz datoteke slike diska pomoću dd naredba. Utipkajte sljedeću naredbu u terminal da biste vratili izvorni disk iz datoteke slike diska:

[zaštićena e-poštom]: ~ $ dd if = / media / diskImage.img od = / dev / sdb1 bs = 1k

Gornja naredba slična je onoj koja se koristi za stvaranje datoteke slike diska na disku. U ovom se slučaju, međutim, ulaz i izlaz prebacuju, preokrećući tok podataka da bi se disk vratio iz datoteke slike diska. Nakon unosa gornje naredbe, sada smo vratili svoj disk iz datoteke slike diska.

Stvaranje MD5 kontrolne sume vraćenog diska

Zatim ćemo stvoriti MD5 kontrolnu sumu diska obnovljenog iz datoteke slike diska. Upišite sljedeću naredbu za stvaranje MD5 kontrolne sume vraćenog diska:

[e-pošta zaštićena]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Koristeći gornju naredbu, stvorio je MD5 kontrolnu sumu vraćenog diska i prikazao je u terminalu. Možemo usporediti MD5 kontrolnu sumu obnovljenog diska s MD5 kontrolnom sumom izvornog diska. Ako su oba ista, to znači da smo točno vratili svoj disk sa slike diska.

Testiranje MD5 kontrolne sume naspram promijenjene slikovne datoteke

Do sada smo uspoređivali MD5 kontrolne sume točno stvorenih diskova i datoteka slika diska. Zatim ćemo ovu forenzičku analizu koristiti za provjeru točnosti promijenjene datoteke slike diska. Promijenite datoteku slike diska pokretanjem sljedeće naredbe u terminalu.

[e-pošta zaštićena]: ~ $ echo “abcdef” >> / media / diskImage.img

Sada smo promijenili datoteku slike diska i ona više nije ista kao prije. Imajte na umu da sam umjesto znaka "> koristio znak" >>.”To znači da sam dodao datoteku slike diska, umjesto da je prepišem. Dalje ćemo stvoriti novu MD5 kontrolnu sumu promijenjene datoteke slike diska pomoću naredbe md5sum u terminalu.

[zaštićena e-poštom]: ~ $ md5sum / media / diskImage.img> / media / promijenjenoMD5

Unosom ove naredbe stvorit će se MD5 kontrolna suma promijenjene datoteke slike diska. Sada imamo sljedeće datoteke:

• Izvorni MD5 kontrolni zbroj
• Kontrolna suma slike diska MD5
• Vraćena kontrolna suma MD5 diska
• Promijenjena kontrolna suma slike diska MD5

Uspoređujući sve kontrolne sume MD5

Završit ćemo našu raspravu usporedbom svih MD5 kontrolnih suma stvorenih tijekom ovog vodiča. Koristiti mačka naredba za čitanje svih MD5 datoteka kontrolne sume radi međusobne usporedbe:

[zaštićena e-poštom]: ~ $ cat / media / * MD5

Gornja naredba prikazat će sadržaj svih datoteka MD5 kontrolne sume. Na gornjoj slici vidimo da su sve MD5 kontrolne sume jednake, osim one gornje koja je stvorena s promijenjenom datotekom slike diska. Dakle, na taj način možemo provjeriti točnost datoteka pomoću dd i md5sum naredbe.

Zaključak

Stvaranje sigurnosne kopije podataka važna je strategija za njezino vraćanje u slučaju katastrofe, ali sigurnosna kopija je beskorisna ako se podaci oštete usred prijenosa. Da biste osigurali točnost prijenosa podataka, pomoću nekih alata možete izvršiti radnje na podacima za autentifikaciju jesu li podaci oštećeni tijekom postupka kopiranja.

The dd command je ugrađeni uslužni program naredbenog retka koji se koristi za stvaranje slikovnih datoteka podataka pohranjenih na diskovima. Također možete koristiti md5sum naredba za stvaranje MD5 kontrolne sume novostvorene slike, koja potvrđuje točnost kopiranih podataka, za obavljanje forenzike na prenesenim podacima zajedno s dd naredba. U ovom se vodiču govorilo o korištenju dd i md5sum alati u kontekstu forenzike kako bi se osigurala točnost kopiranih podataka s diska.