Come usare il comando dd in Forensics

Quando si utilizza la riga di comando in Ubuntu, potrebbe essere necessario copiare un file da un posto all'altro. Potresti anche voler assicurarti che i dati vengano copiati accuratamente. Ad esempio, supponiamo che tu voglia un backup del tuo disco e vuoi assicurarti che sia eseguito un backup accurato. Per eseguire questa azione, puoi utilizzare il dd (Dump dati Data) utility da riga di comando disponibile in molte distribuzioni Linux, come Ubuntu e Fedora. Il dd strumento è un'utilità della riga di comando integrata e non è necessario installarla prima di utilizzare questo strumento. Lo scopo di base di questo comando è trasferire i dati da un'unità all'altra assicurandosi anche che i dati stessi non vengano modificati. La capacità di questo strumento di spostare con precisione i dati da un dispositivo all'altro lo rende uno strumento popolare per il backup dei dati. Senza md5sum, il dd lo strumento trasferisce solo i dati da un'unità all'altra, ma se si utilizza il dd strumento con md5sum, quindi puoi assicurarti che il trasferimento dei dati non venga danneggiato. Questo tutorial discuterà alcuni diversi casi d'uso di dd comando, in particolare nel contesto di Forense.

Iniziare con il comando dd

Per iniziare con il dd comando, prima, apri il terminale premendo terminal Ctrl+Alt+T. Quindi, esegui il seguente comando:

[email protected]:~$ uomo dd

L'esecuzione del comando precedente visualizzerà il manuale utente del dd comando. Il dd comando viene utilizzato con alcuni parametri. Per elencare tutti i parametri disponibili, eseguire il seguente comando nel terminale:

[email protected]:~$ dd --help

Il comando sopra ti darà tutte le opzioni disponibili che possono essere utilizzate con il dd comando. Questo articolo non discuterà tutte le opzioni disponibili, ma solo quelle relative all'argomento dato. Di seguito sono elencati alcuni dei parametri più importanti del dd comando:

• bs=B: Questo parametro imposta il numero di byte B che possono essere letti o scritti in qualsiasi momento durante la creazione di un file immagine del disco disk. Il valore predefinito di bs è 512 byte.
• cbs=B: Questo parametro imposta il numero di byte B che possono essere convertiti alla volta durante qualsiasi processo.
• conteggio=N: Questo parametro imposta il numero N di blocchi di dati in ingresso da copiare.
• if=DEST: Questo parametro prende il file dalla destinazione DEST.
• di=DEST: Questo parametro salva il file nella destinazione DEST.

Termini importanti da rivedere

In questo tutorial, mentre si discute del dd comando nel contesto forense, useremo alcuni termini tecnici con cui devi avere familiarità prima di passare attraverso il tutorial. Di seguito sono riportati i termini che verranno utilizzati ripetutamente durante il tutorial:

• Somma di controllo MD5: Il checksum MD5 è la stringa di 32 caratteri generata da un algoritmo di hashing che è unico per dati diversi. Non è possibile che due file diversi abbiano lo stesso checksum MD5.
• md5sum: L'md5sum è un'utilità della riga di comando utilizzata per implementare un algoritmo di hashing a 128 bit e viene anche utilizzata per generare un checksum MD5 di dati univoci. Useremo md5sum nel tutorial in questo articolo per generare checksum MD5 dei dati.
• File immagine disco: Il file immagine del disco è la copia esatta del disco da cui è stato creato. Possiamo dire che è un'istantanea temporale del disco. Possiamo ripristinare i dati del nostro disco da questo file immagine del disco quando necessario. Questo file ha esattamente le stesse dimensioni del disco stesso. Useremo il dd comando per creare un file immagine disco dal disco.

Panoramica dell'esercitazione

In questo tutorial, creeremo un sistema di backup e verificheremo se il backup dei dati viene eseguito in modo accurato con il dd e md5sum comandi. Innanzitutto, specificheremo il disco di cui vogliamo creare un backup. Successivamente, useremo il dd utility da riga di comando per creare un file immagine disco del disco. Quindi, creeremo checksum MD5 sia del disco che del file dell'immagine del disco per verificare se il file dell'immagine del disco è accurato. Dopodiché, ripristineremo il disco dal file immagine del disco. Quindi genereremo un checksum MD5 del disco ripristinato e lo verificheremo confrontandolo con il checksum MD5 del disco originale. Infine, cambieremo il file dell'immagine del disco e creeremo il checksum MD5 da questo file dell'immagine del disco modificato per testare l'accuratezza. Il checksum MD5 del file immagine del disco modificato non dovrebbe essere lo stesso del file originale.

Il comando dd in un contesto forense

Il dd il comando viene fornito di default con molte distribuzioni Linux (Fedora, Ubuntu, ecc.).). Oltre a eseguire semplici azioni sui dati, il dd il comando può essere utilizzato anche per eseguire alcune attività forensi di base. In questo tutorial, useremo il dd comando, insieme a md5sum, per verificare la creazione accurata dell'immagine del disco dal disco originale.

Passi da seguire

Di seguito sono riportati i passaggi necessari per verificare un'immagine del disco audio utilizzando il md5sum e dd comandi.

• Crea il checksum MD5 del disco usando il md5sum comando
• Crea un file immagine del disco usando il dd comando
• Crea il checksum MD5 del file immagine usando il md5sum comando
• Confronta il checksum MD5 del file immagine del disco con il checksum MD5 del disco
• Ripristina il disco dal file immagine del disco
• Crea checksum MD5 del disco ripristinato
• Verifica il checksum MD5 rispetto al file immagine alterato
• Confronta tutti i checksum MD5

Ora, discuteremo tutti i passaggi in dettaglio, per mostrare meglio come funzionano le cose con questi comandi.

Creazione di un checksum MD5 del disco

Per iniziare, accedi prima come utente root. Per accedere come utente root, esegui il seguente comando nel terminale. Ti verrà quindi richiesta la password. Inserisci la tua password di root e inizia come utente root.

[email protected]:~$ sudo su

Prima di creare il checksum MD5, selezionare il disco che si desidera utilizzare. Per elencare tutti i dischi disponibili sul tuo dispositivo, esegui il seguente comando nel terminale:

[email protetta]:~$ df -h

Per questo tutorial, userò il /dev/sdb1 disco disponibile sul mio dispositivo. Puoi scegliere un disco appropriato dal tuo dispositivo da usare.

NOTA: Scegli questo disco con saggezza e usa il dd utility da riga di comando in un ambiente sicuro, in quanto può avere effetti devastanti sul disco se non utilizzato correttamente.

Crea un file MD5 originale nel /media file ed eseguire il comando md5sum nel terminale per creare un checksum MD5 del disco.

[email protected]:~$ touch  /media/originalMD5
[email protected]:~$ md5sum /dev/sdb1  > /media/originalMD5

Quando si eseguono i comandi precedenti, crea un file nella destinazione specificata dal parametro e salva il checksum MD5 del disco (/dev/sdb1, in questo caso) nel file.

NOTA: L'esecuzione del comando md5sum può richiedere del tempo, a seconda delle dimensioni del disco e della velocità del processore del sistema.

Puoi leggere il checksum MD5 del disco eseguendo il seguente comando nel terminale, che darà il checksum, così come il nome del disco:

[email protected]:~$ cat /media/originalMD5

Creazione di un file immagine del disco

Ora useremo il dd comando per creare un file immagine del disco. Esegui il seguente comando nel terminale per creare un file immagine.

[email protected]:~$ dd if=/dev/sdb1 of=/media/diskImage.img bs=1k

Questo creerà un file nella posizione specificata. Il dd il comando non funziona da solo. Devi anche specificare alcune opzioni all'interno di questo comando. Le opzioni incluse con il dd comando hanno il seguente significato:

• Se: Il percorso per inserire l'immagine del file o dell'unità da copiare.
• di: Il percorso per l'output del file immagine ottenuto da from Se
• bs: La dimensione del blocco; in questo esempio, stiamo usando una dimensione del blocco di 1k o 1024B.

NOTA: Non provare a leggere o aprire il file immagine del disco, poiché ha le stesse dimensioni di quello del disco e potresti ritrovarti con un sistema a mano. Inoltre, assicurati di specificare saggiamente la posizione di questo file a causa delle sue dimensioni maggiori.

Creazione di un checksum MD5 del file immagine

Creeremo un checksum MD5 del file immagine disco creato nel passaggio precedente utilizzando la stessa procedura eseguita nel primo passaggio. Eseguire il seguente comando nel terminale per creare un checksum MD5 del file immagine del disco:

[email protected]:~$ md5sum /media/diskImage.img > /media/imageMD5

Questo creerà un checksum MD5 del file immagine del disco. Ora abbiamo a disposizione i seguenti file:

• Checksum MD5 del disco
• File immagine disco del disco
• Checksum MD5 del file immagine

Confronto tra checksum MD5

Finora abbiamo creato un checksum MD5 del disco e del file immagine del disco. Successivamente, per verificare se è stata creata un'immagine del disco accurata, confronteremo i checksum sia del disco stesso che del file dell'immagine del disco. Inserisci i seguenti comandi nel tuo terminale per stampare il testo di entrambi i file per confrontare i due file:

[email protected]:~$ cat /media/originalMD5
[email protected]:~$ cat /media/imageMD5

Questi comandi mostreranno il contenuto di entrambi i file. Il checksum MD5 di entrambi i file deve essere lo stesso. Se i checksum MD5 dei file non sono gli stessi, deve essersi verificato un problema durante la creazione del file immagine del disco.

Ripristino del disco dal file immagine

Successivamente, ripristineremo il disco originale dal file immagine del disco utilizzando il dd comando. Digita il seguente comando nel terminale per ripristinare il disco originale dal file immagine del disco:

[email protected]:~$ dd if=/media/diskImage.img of=/dev/sdb1 bs=1k

Il comando precedente è simile a quello utilizzato per creare un file immagine disco del disco. In questo caso, però, l'input e l'output vengono scambiati, invertendo il flusso dei dati per ripristinare il disco dal file immagine del disco. Dopo aver inserito il comando sopra, ora abbiamo ripristinato il nostro disco dal file immagine del disco.

Creazione di un checksum MD5 del disco ripristinato

Successivamente, creeremo un checksum MD5 del disco ripristinato dal file immagine del disco. Digita il seguente comando per creare un checksum MD5 del disco ripristinato:

[email protected]:~$ md5sum /dev/sdb1 > /media/RestoredMD5

Utilizzando il comando sopra, creato un checksum MD5 del disco ripristinato e visualizzato nel terminale. Possiamo confrontare il checksum MD5 del disco ripristinato con il checksum MD5 del disco originale. Se entrambi sono uguali, significa che abbiamo ripristinato accuratamente il nostro disco dall'immagine del disco.

Testare il checksum MD5 contro il file immagine alterato

Finora, abbiamo confrontato i checksum MD5 di dischi e file immagine del disco creati con precisione. Successivamente, utilizzeremo questa analisi forense per verificare l'accuratezza di un file immagine del disco alterato. Modificare il file immagine del disco eseguendo il seguente comando nel terminale.

[email protected]:~$ echo “abcdef” >> /media/diskImage.img

Ora abbiamo cambiato il nostro file immagine del disco e non è più lo stesso di prima. Nota che ho usato il segno “>>” invece di “>."Questo significa che ho aggiunto il file immagine del disco, invece di riscriverlo. Successivamente, creeremo un altro checksum MD5 del file immagine del disco modificato utilizzando il comando md5sum nel terminale.

[email protected]:~$ md5sum /media/diskImage.img > /media/modificatoMD5

L'immissione di questo comando creerà un checksum MD5 del file immagine del disco modificato. Ora abbiamo i seguenti file:

• Checksum MD5 originale
• Checksum immagine disco MD5
• Checksum MD5 del disco ripristinato
• Checksum MD5 dell'immagine disco modificata Change

Confrontando tutti i checksum MD5

Concluderemo la nostra discussione confrontando tutti i checksum MD5 creati durante questo tutorial. Usa il gatto comando per leggere tutti i file di checksum MD5 per confrontarli tra loro:

[email protected]:~$ cat /media/*MD5

Il comando precedente visualizzerà il contenuto di tutti i file di checksum MD5. Possiamo vedere dall'immagine sopra che tutti i checksum MD5 sono uguali, tranne quello in alto, che è stato creato con il file immagine del disco modificato. Quindi, in questo modo, possiamo verificare l'accuratezza dei file utilizzando il using dd e md5sum comandi.

Conclusione

Creare un backup dei tuoi dati è una strategia importante per ripristinarli in caso di disastro, ma il backup è inutile se i tuoi dati vengono danneggiati durante il trasferimento. Per garantire che il trasferimento dei dati sia accurato, è possibile utilizzare alcuni strumenti per eseguire azioni sui dati per autenticare se i dati sono stati danneggiati durante il processo di copia.

Il dd comando è un'utilità della riga di comando incorporata utilizzata per creare file di immagine dei dati archiviati nei dischi. Puoi anche usare il md5sum comando per creare un checksum MD5 dell'immagine appena creata, che autentica l'accuratezza dei dati copiati, per eseguire analisi forensi sui dati trasferiti insieme al dd comando. Questo tutorial ha discusso su come usare il dd e md5sum strumenti in un contesto forense per garantire l'accuratezza dei dati del disco copiati.