Како се користи наредба дд у форензици

Када користите командну линију у Убунтуу, можда ћете морати да копирате датотеку са једног места на друго. Такође бисте могли да будете сигурни да су подаци тачно копирани. На пример, реците да желите резервну копију диска и желите да будете сигурни да је тачно направљена резервна копија. Да бисте извршили ову радњу, можете користити дд (Думп података) услужни програм за командну линију доступан у многим Линук дистрибуцијама, као што су Убунту и Федора. Тхе дд алат је уграђени услужни програм за командну линију и не морате га инсталирати пре употребе овог алата. Основна сврха ове наредбе је пренос података са једног погона на други, истовремено водећи рачуна да се сами подаци не промене. Способност овог алата да тачно премешта податке са једног уређаја на други чини га популарним алатом за прављење резервних копија података. Без мд5сум, дд алат преноси податке само са погона на погон, али ако користите дд алат са мд5сум, тада можете бити сигурни да пренос података неће бити оштећен. Овај водич ће размотрити неке различите случајеве употребе дд команде, посебно у контексту Форензика.

Први кораци са командом дд

Да започнемо са дд наредба, прво отворите терминал притиском на Цтрл + Алт + Т. Затим покрените следећу команду:

[емаил заштићен]: ~ $ ман дд

Покретањем горње команде приказаће се кориснички приручник за дд команда. Тхе дд наредба се користи са неким параметрима. Да бисте пописали све доступне параметре, покрените следећу команду у терминалу:

[емаил заштићен]: ~ $ дд --хелп

Горња команда ће вам дати све доступне опције које се могу користити са дд команда. Овај чланак неће разматрати све доступне опције, већ само оне повезане са датом темом. Испод су наведени неки од најважнијих параметара дд наредба:

• бс = Б: Овај параметар поставља број бајтова Б који се могу читати или писати у било ком тренутку приликом креирања датотеке слике диска. Подразумевана вредност бс је 512 бајтова.
• цбс = Б: Овај параметар поставља број бајтова Б који се могу претворити у исто време током било ког процеса.
• цоунт = Н: Овај параметар поставља број Н улазних блокова података за копирање.
• ако је = ДЕСТ: Овај параметар узима датотеку из одредишног ДЕСТ-а.
• од = ДЕСТ: Овај параметар спрема датотеку у одредиште ДЕСТ.

Важни услови за преглед

У овом упутству, док смо дискутовали о дд наредбе у контексту форензике, користићемо неке техничке изразе са којима морате бити упознати пре него што прођете кроз водич. Следе појмови који ће се више пута користити у водичу:

• МД5 контролна сума: Контролна сума МД5 је низ од 32 знака генерисан алгоритмом хеширања који је јединствен за различите податке. Не могу две различите датотеке имати исту МД5 контролну суму.
• мд5сум: Мд5сум је услужни програм наредбеног ретка који се користи за имплементацију 128-битног алгоритма хеширања и такође се користи за генерисање МД5 контролне суме јединствених података. Користићемо мд5сум у водичу у овом чланку за генерисање МД5 контролних сума података.
• Датотека слике диска: Датотека слике диска је тачна копија диска са којег је створена. Можемо рећи да је то тренутни снимак диска. По потреби можемо вратити податке диска из ове датотеке слике диска. Ова датотека је потпуно исте величине као и сам диск. Користићемо дд наредба за креирање датотеке слике диска са диска.

Преглед упутства

У овом упутству ћемо створити систем за резервне копије и проверити да ли су подаци тачно израђени у резервној копији помоћу дд и мд5сум команде. Прво ћемо одредити диск на којем желимо да направимо резервну копију. Даље ћемо користити дд услужни програм наредбеног ретка за креирање датотеке слике диска диска. Затим ћемо створити МД5 контролне суме и датотеке диска и датотеке слике диска да бисмо проверили да ли је датотека слике диска тачна. Након овога, вратићемо диск из датотеке слике диска. Затим ћемо генерисати МД5 контролну суму враћеног диска и верификовати је упоређивањем са МД5 контролном сумом оригиналног диска. На крају, променићемо датотеку слике диска и креираћемо МД5 контролну суму од ове промењене датотеке слике диска како бисмо тестирали тачност. МД5 контролна сума промењене датотеке слике диска не би требало да буде иста као она оригиналне датотеке.

Команда дд у форензичком контексту

Тхе дд наредба долази подразумевано са многим Линук дистрибуцијама (Федора, Убунту итд.). Поред извршавања једноставних радњи на подацима, дд наредба се такође може користити за обављање неких основних форензичких задатака. У овом упутству ћемо користити дд команда, заједно са мд5сум, да бисте проверили тачност креирања слике диска са оригиналног диска.

Кораци које треба следити

Испод су кораци потребни за верификацију слике звучног диска помоћу мд5сум и дд команде.

• Направите МД5 контролну суму диска помоћу мд5сум команда
• Направите датотеку слике диска помоћу дд команда
• Направите МД5 контролну суму датотеке слике користећи мд5сум команда
• Упоредите МД5 контролну суму датотеке слике диска са МД5 контролном сумом диска
• Вратите диск из датотеке слике диска
• Направите МД5 контролну суму враћеног диска
• Тестирајте МД5 контролну суму на основу измењене датотеке слике
• Упоредите све МД5 контролне суме

Сада ћемо детаљно разговарати о свим корацима како бисмо боље показали како ствари функционишу са овим наредбама.

Креирање МД5 контролне суме диска

Да бисте започели, прво се пријавите као роот корисник. Да бисте се пријавили као роот корисник, покрените следећу команду у терминалу. Тада ћете бити упитани за лозинку. Унесите своју роот лозинку и започните као роот корисник.

[заштићена е-поштом]: ~ $ судо су

Пре стварања МД5 контролне суме, прво одаберите диск који желите да користите. Да бисте пописали све доступне дискове на уређају, покрените следећу команду у терминалу:

[заштићена е-поштом]: ~ $ дф -х

За овај водич користићу / дев / сдб1 диск доступан на мом уређају. Са уређаја можете одабрати одговарајући диск који ћете користити.

БЕЛЕШКА: Паметно одаберите овај диск и користите дд услужни програм командне линије у сигурном окружењу, јер може имати разорне ефекте на вашем диску ако се не користи правилно.

Креирајте оригиналну МД5 датотеку у / медији датотеку и покрените команду мд5сум у терминалу да бисте креирали МД5 контролну суму диска.

[заштићен е-поштом]: ~ $ тоуцх / медиа / оригиналМД5
[заштићена е-поштом]: ~ $ мд5сум / дев / сдб1> / медиа / оригиналМД5

Када покренете горње наредбе, она креира датотеку на одредишту наведеном параметром и чува МД5 контролну суму диска (/ дев / сдб1, у овом случају) у датотеци.

БЕЛЕШКА: Извођење наредбе мд5сум може потрајати, у зависности од величине диска и брзине процесора вашег система.

Можете прочитати МД5 контролну суму диска покретањем следеће наредбе у терминалу, која ће дати контролну суму, као и име диска:

[заштићена е-поштом]: ~ $ цат / медиа / оригиналМД5

Креирање сликовне датотеке диска

Сада ћемо користити дд наредба за стварање датотеке слике на диску. Покрените следећу наредбу у терминалу да бисте креирали датотеку слике.

[заштићена е-поштом]: ~ $ дд иф = / дев / сдб1 од = / медиа / дискИмаге.имг бс = 1к

Ово ће створити датотеку на наведеном месту. Тхе дд команда не ради сама. Такође морате навести неке опције у оквиру ове наредбе. Опције укључене у дд наредба има следеће значење:

• Ако: Путања за унос слике датотеке или погона који се копира.
• од: Путања за излаз датотеке слике која је добијена из ако
• бс: Величина блока; у овом примеру користимо блок величине 1к или 1024Б.

БЕЛЕШКА: Не покушавајте да читате или отварате датотеку слике диска, јер је исте величине као и ваш диск, а можда ћете на крају добити и предати систем. Такође, будите сигурни да сте паметно одредили локацију ове датотеке због веће величине.

Стварање МД5 контролне суме сликовне датотеке

Направићемо МД5 контролну суму датотеке слике диска створене у претходном кораку користећи исти поступак изведен у првом кораку. Покрените следећу наредбу у терминалу да бисте креирали МД5 контролну суму датотеке слике диска:

[заштићена е-поштом]: ~ $ мд5сум / медиа / дискИмаге.имг> / медиа / имагеМД5

Ово ће створити МД5 контролну суму датотеке слике диска. Сада имамо на располагању следеће датотеке:

• МД5 контролна сума диска
• Датотека слике диска
• МД5 контролна сума датотеке слике

Упоређивање контролних сума МД5

До сада смо креирали МД5 контролну суму диска и датотеке слике диска. Даље, да бисмо проверили да ли је створена тачна слика диска, упоредићемо контролне суме самог диска и датотеке слике диска. Унесите следеће наредбе у свој терминал да бисте одштампали текст обе датотеке да бисте упоредили две датотеке:

[заштићена е-поштом]: ~ $ цат / медиа / оригиналМД5
[заштићена е-поштом]: ~ $ цат / медиа / имагеМД5

Ове наредбе ће приказати садржај обе датотеке. МД5 контролна сума обе датотеке мора бити иста. Ако МД5 контролне суме датотека нису исте, сигурно је дошло до проблема приликом креирања датотеке слике диска.

Враћање диска из датотеке слике

Затим ћемо вратити оригинални диск из датотеке слике диска помоћу дд команда. Унесите следећу наредбу у терминал да бисте вратили оригинални диск из датотеке слике диска:

[заштићена е-поштом]: ~ $ дд иф = / медиа / дискИмаге.имг оф = / дев / сдб1 бс = 1к

Горња наредба је слична оној која се користи за креирање датотеке слике диска на диску. У овом случају, међутим, улаз и излаз се мењају, окрећући ток података да би се диск обновио из датотеке слике диска. Након уноса горње наредбе, сада смо обновили наш диск из датотеке слике диска.

Креирање МД5 контролне суме враћеног диска

Затим ћемо створити МД5 контролну суму диска враћеног из датотеке слике диска. Откуцајте следећу наредбу да бисте креирали МД5 контролну суму враћеног диска:

[заштићена е-поштом]: ~ $ мд5сум / дев / сдб1> / медиа / РесторедМД5

Користећи горњу наредбу, креирао је МД5 контролну суму враћеног диска и приказао је у терминалу. Можемо упоредити МД5 контролну суму враћеног диска са МД5 контролном сумом оригиналног диска. Ако су оба иста, то значи да смо тачно обновили свој диск са слике диска.

Тестирање контролне суме МД5 наспрам измењене датотеке слика

До сада смо упоређивали МД5 контролне суме тачно створених дискова и датотека слика диска. Даље, користићемо ову форензичку анализу да бисмо проверили тачност измењене датотеке слике диска. Промените датотеку слике диска покретањем следеће наредбе у терминалу.

[заштићена е-поштом]: ~ $ ецхо “абцдеф” >> / медиа / дискИмаге.имг

Сада смо променили датотеку слике диска и она више није иста као раније. Имајте на уму да сам уместо „> користио знак“ >>.”То значи да сам додао датотеку слике диска, уместо да је препишем. Даље, креираћемо нову МД5 контролну суму промењене датотеке слике диска помоћу команде мд5сум у терминалу.

[заштићена е-поштом]: ~ $ мд5сум / медиа / дискИмаге.имг> / медиа / променаМД5

Уношењем ове команде створиће се МД5 контролна сума промењене датотеке слике диска. Сада имамо следеће датотеке:

• Оригинални МД5 контролни збир
• Контролна сума слике диска МД5
• Враћена контролна сума МД5 диска
• Промењена контролна сума слике диска МД5

Упоређујући све контролне суме МД5

Закључићемо нашу дискусију упоређивањем свих МД5 контролних сума створених током овог водича. Користити мачка наредба за читање свих датотека МД5 контролне суме ради њиховог поређења:

[заштићена е-поштом]: ~ $ цат / медиа / * МД5

Горња наредба ће приказати садржај свих датотека МД5 контролне суме. Са горње слике видимо да су све контролне суме МД5 једнаке, осим горње која је креирана са измењеном датотеком слике диска. Дакле, на овај начин можемо да проверимо тачност датотека помоћу дд и мд5сум команде.

Закључак

Стварање резервне копије података је важна стратегија за њено враћање у случају катастрофе, али сигурносна копија је бескорисна ако се подаци оштете усред преноса. Да бисте били сигурни да је пренос података тачан, помоћу неких алата можете извршити радње на подацима да бисте утврдили да ли су подаци оштећени током процеса копирања.

Тхе дд цомманд је уграђени услужни програм наредбеног ретка који се користи за креирање сликовних датотека података похрањених на дисковима. Такође можете да користите мд5сум наредба за стварање МД5 контролне суме новостворене слике, која потврђује тачност копираних података, да би се извршила форензика на пренесеним подацима заједно са дд команда. У овом водичу се расправљало о томе како се користи дд и мд5сум алати у форензичком контексту како би се осигурала тачност копираних података на диску.