Ako používať príkaz dd v súdnom lekárstve

Pri použití príkazového riadku v Ubuntu možno budete musieť skopírovať súbor z jedného miesta na druhé. Možno budete tiež chcieť skontrolovať, či sú údaje správne skopírované. Povedzme napríklad, že chcete zálohovať disk a chcete sa ubezpečiť, že je správne zálohovaný. Na vykonanie tejto akcie môžete použiť dd (Výpis dát) obslužný program príkazového riadku dostupný v mnohých distribúciách Linuxu, ako sú Ubuntu a Fedora. The dd nástroj je vstavaný nástroj príkazového riadku a pred použitím tohto nástroja ho nemusíte inštalovať. Základným účelom tohto príkazu je prenos údajov z jednej jednotky na druhú a zároveň zabezpečenie toho, aby sa samotné údaje nezmenili. Schopnosť tohto nástroja presne presúvať údaje z jedného zariadenia do druhého z neho robí obľúbený nástroj na zálohovanie vašich údajov. Bez súboru md5sum dd nástroj prenáša údaje iba z disku na disk, ale ak používate dd pomocou nástroja md5sum, potom môžete zaistiť, aby nedošlo k poškodeniu prenosu údajov. Tento výukový program bude diskutovať o niekoľkých rôznych prípadoch použitia dd velenie, najmä v kontexte Forenzná.

Začíname pracovať s príkazom dd

Ak chcete začať s dd príkaz, najskôr otvorte terminál stlačením Ctrl + Alt + T. Potom spustite nasledujúci príkaz:

[chránené e-mailom]: ~ $ man dd

Spustením vyššie uvedeného príkazu sa zobrazí používateľská príručka aplikácie dd príkaz. The dd príkaz sa používa s niektorými parametrami. Zoznam všetkých dostupných parametrov zobrazíte spustením nasledujúceho príkazu v termináli:

[chránené e-mailom]: ~ $ dd --help

Vyššie uvedený príkaz vám poskytne všetky dostupné možnosti, ktoré je možné použiť s programom dd príkaz. V tomto článku sa nebudeme venovať všetkým dostupným možnostiam, ale iba možnostiam súvisiacim s danou témou. Ďalej sú uvedené niektoré z najdôležitejších parametrov dd príkaz:

• bs = B: Tento parameter nastavuje počet bajtov B, ktoré je možné kedykoľvek čítať alebo zapisovať pri vytváraní obrazového súboru disku. Predvolená hodnota bs je 512 bajtov.
• cbs = B: Tento parameter nastavuje počet bajtov B, ktoré je možné previesť naraz počas ľubovoľného procesu.
• počet = N: Tento parameter nastavuje počet N vstupných blokov dát, ktoré sa majú kopírovať.
• ak = DEST: Tento parameter prevezme súbor z cieľového DEST.
• z = DEST: Tento parameter uloží súbor do cieľového DEST.

Dôležité podmienky na kontrolu

V tomto návode, zatiaľ čo diskutujete o dd príkaz v kontexte forenznej analýzy, použijeme niektoré technické výrazy, s ktorými musíte byť oboznámení, skôr ako prejdete tutoriálom. Nasledujú výrazy, ktoré sa v tomto výučbe budú opakovane používať:

• Kontrolný súčet MD5: Kontrolný súčet MD5 je 32-znakový reťazec vygenerovaný algoritmom hash, ktorý je jedinečný pre rôzne údaje. Žiadne dva rôzne súbory nemôžu mať rovnaký kontrolný súčet MD5.
• md5sum: Md5sum je obslužný program príkazového riadku používaný na implementáciu 128-bitového hashovacieho algoritmu a tiež sa používa na generovanie kontrolného súčtu MD5 jedinečných údajov. Použijeme md5sum v návode v tomto článku na vygenerovanie kontrolných súčtov údajov MD5.
• Súbor obrázka disku: Súbor s obrázkom disku je presnou kópiou disku, z ktorého je vytvorený. Môžeme povedať, že ide o momentovú snímku disku. V prípade potreby môžeme z tohto obrazového súboru disku obnoviť naše údaje o disku. Tento súbor má presne rovnakú veľkosť ako samotný disk. Použijeme dd príkaz na vytvorenie obrazového súboru disku z disku.

Prehľad výučby

V tomto výučbe vytvoríme zálohovací systém a overíme, či sú údaje zálohované presne pomocou dd a md5sum príkazy. Najskôr si určíme disk, z ktorého chceme vytvoriť zálohu. Ďalej použijeme dd obslužný program príkazového riadku na vytvorenie obrazového súboru disku. Potom vytvoríme kontrolné súčty MD5 pre disk aj obrazový súbor disku, aby sme overili, či je obrazový súbor disku presný. Potom obnovíme disk zo súboru s obrazom disku. Potom vygenerujeme kontrolný súčet MD5 obnoveného disku a overíme ho porovnaním s kontrolným súčtom MD5 pôvodného disku. Na záver zmeníme súbor s obrazom disku a z tohto zmeneného súboru s obrazom disku vytvoríme kontrolný súčet MD5, aby sme otestovali presnosť. Kontrolný súčet MD5 zmeneného obrazového súboru disku by nemal byť rovnaký ako kontrolný súčet pôvodného súboru.

Príkaz dd v forenznom kontexte

The dd príkaz je štandardne dodávaný s mnohými distribúciami Linuxu (Fedora, Ubuntu atď.). Okrem vykonávania jednoduchých akcií s údajmi, dd Príkaz je možné použiť aj na vykonávanie niektorých základných forenzných úloh. V tomto návode použijeme dd velenie spolu s md5sum, na overenie presného vytvorenia obrazu disku z pôvodného disku.

Kroky, ktoré treba nasledovať

Ďalej sú uvedené kroky potrebné na overenie obrazu zvukového disku pomocou md5sum a dd príkazy.

• Vytvorte kontrolný súčet MD5 disku pomocou md5sum príkaz
• Vytvorte obrazový súbor disku pomocou dd príkaz
• Vytvorte kontrolný súčet MD5 obrazového súboru pomocou súboru md5sum príkaz
• Porovnajte kontrolný súčet MD5 obrazového súboru disku s kontrolným súčtom MD5 disku
• Obnovte disk zo súboru s obrazom disku
• Vytvorte kontrolný súčet MD5 obnoveného disku
• Vyskúšajte kontrolný súčet MD5 na zmenený obrazový súbor
• Porovnajte všetky kontrolné súčty MD5

Teraz si podrobne prediskutujeme všetky kroky, aby sme lepšie ukázali, ako veci fungujú s týmito príkazmi.

Vytvorenie kontrolného súčtu MD5 na disku

Ak chcete začať, najskôr sa prihláste ako používateľ typu root. Ak sa chcete prihlásiť ako užívateľ root, v termináli spustite nasledujúci príkaz. Potom sa zobrazí výzva na zadanie hesla. Zadajte svoje heslo root a začnite ako užívateľ root.

[chránené e-mailom]: ~ $ sudo su

Pred vytvorením kontrolného súčtu MD5 najskôr vyberte disk, ktorý chcete použiť. Ak chcete zobraziť zoznam všetkých dostupných diskov na vašom zariadení, spustite v termináli nasledujúci príkaz:

[chránené e-mailom]: ~ $ df -h

Pre tento tutoriál použijem / dev / sdb1 disk k dispozícii v mojom zariadení. Z vášho zariadenia si môžete zvoliť vhodný disk, ktorý chcete použiť.

POZNÁMKA: Vyberte si tento disk s rozumom a použite dd obslužný program príkazového riadku v bezpečnom prostredí, pretože ak sa nepoužíva správne, môže mať na váš disk zničujúce účinky.

Vytvorte originálny súbor MD5 v priečinku / media súbor a spustením príkazu md5sum v termináli vytvorte kontrolný súčet MD5 disku.

[chránené e-mailom]: ~ $ touch / media / originalMD5
[chránené e-mailom]: ~ $ md5sum / dev / sdb1> / media / originalMD5

Keď spustíte vyššie uvedené príkazy, vytvorí sa súbor v cieľovom mieste určenom parametrom a uloží sa do súboru kontrolný súčet MD5 disku (v tomto prípade / dev / sdb1).

POZNÁMKA: Spustenie príkazu md5sum môže chvíľu trvať, v závislosti od veľkosti disku a rýchlosti procesora vášho systému.

Kontrolný súčet MD5 disku si môžete prečítať spustením nasledujúceho príkazu v termináli, ktorý poskytne kontrolný súčet, ako aj názov disku:

[chránené e-mailom]: ~ $ cat / media / originalMD5

Vytvorenie obrazového súboru disku

Teraz použijeme dd príkaz na vytvorenie obrazového súboru disku. Spustením nasledujúceho príkazu v termináli vytvorte obrazový súbor.

[chránené e-mailom]: ~ $ dd if = / dev / sdb1 of = / media / diskImage.img bs = 1k

Takto sa vytvorí súbor na určenom mieste. The dd príkaz nefunguje sám. V tomto príkaze musíte určiť aj niektoré voľby. Možnosti zahrnuté v dd príkaz majú nasledujúci význam:

• Ak: Cesta na vloženie obrázka súboru alebo jednotky, ktorá sa má kopírovať.
• z: Cesta k výstupu obrazového súboru získaného z ak
• bs: Veľkosť bloku; v tomto príklade používame veľkosť bloku 1k ​​alebo 1024B.

POZNÁMKA: Nepokúšajte sa čítať alebo otvárať obrazový súbor disku, pretože má rovnakú veľkosť ako váš disk a môžete skončiť s podaným systémom. Nezabudnite tiež rozumne určiť umiestnenie tohto súboru kvôli jeho väčšej veľkosti.

Vytvorenie kontrolného súčtu MD5 obrazového súboru

Rovnakým postupom ako v prvom kroku vytvoríme kontrolný súčet MD5 súboru obrazu disku, ktorý bol vytvorený v predchádzajúcom kroku. Spustením nasledujúceho príkazu v termináli vytvorte kontrolný súčet MD5 obrazového súboru disku:

[chránené e-mailom]: ~ $ md5sum / media / diskImage.img> / media / imageMD5

Týmto sa vytvorí kontrolný súčet MD5 obrazového súboru disku. Teraz máme k dispozícii nasledujúce súbory:

• Kontrolný súčet MD5 disku
• Súbor s obrázkom disku
• Kontrolný súčet MD5 obrazového súboru

Porovnávanie kontrolných súčtov MD5

Doteraz sme vytvorili kontrolný súčet MD5 pre disk a obrazový súbor disku. Ďalej, aby sme skontrolovali, či bol vytvorený presný obraz disku, porovnáme kontrolné súčty samotného disku a obrazového súboru disku. Zadaním nasledujúcich príkazov do terminálu vytlačte text oboch súborov a porovnajte tieto dva súbory:

[chránené e-mailom]: ~ $ cat / media / originalMD5
[chránené e-mailom]: ~ $ cat / media / imageMD5

Tieto príkazy zobrazia obsah oboch súborov. Kontrolný súčet MD5 oboch súborov musí byť rovnaký. Ak kontrolné súčty súborov MD5 nie sú rovnaké, pri vytváraní obrazového súboru disku musel nastať problém.

Obnova disku zo súboru obrázka

Ďalej obnovíme pôvodný disk z obrazového súboru disku pomocou dd príkaz. Do terminálu zadajte nasledujúci príkaz na obnovenie pôvodného disku zo súboru s obrazom disku:

[chránené e-mailom]: ~ $ dd if = / media / diskImage.obrázok = / dev / sdb1 bs = 1k

Vyššie uvedený príkaz je podobný príkazu použitému na vytvorenie obrazového súboru disku. V takom prípade sa však vstup a výstup prepnú, čím sa obráti tok údajov, aby sa disk obnovil zo súboru obrazu disku. Po zadaní vyššie uvedeného príkazu sme teraz obnovili náš disk zo súboru s obrazom disku.

Vytvorenie kontrolného súčtu MD5 obnoveného disku

Ďalej vytvoríme kontrolný súčet MD5 disku obnoveného zo súboru s obrazom disku. Zadaním nasledujúceho príkazu vytvorte kontrolný súčet MD5 obnoveného disku:

[chránené e-mailom]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Pomocou vyššie uvedeného príkazu ste vytvorili kontrolný súčet MD5 obnoveného disku a zobrazili ho v termináli. Môžeme porovnať kontrolný súčet MD5 obnoveného disku s kontrolným súčtom MD5 pôvodného disku. Ak sú obe rovnaké, znamená to, že sme presne obnovili náš disk z obrazu disku.

Testovanie kontrolného súčtu MD5 proti zmenenému obrazovému súboru

Doteraz sme porovnávali kontrolné súčty MD5 presne vytvorených diskov a obrazových súborov disku. Ďalej pomocou tejto forenznej analýzy skontrolujeme presnosť zmeneného obrazového súboru disku. Zmeňte súbor s obrazom disku spustením nasledujúceho príkazu v termináli.

[chránené e-mailom]: ~ $ echo „abcdef“ >> / media / diskImage.obr

Teraz sme zmenili náš obrazový súbor disku a už nie je taký ako predtým. Všimnite si, že som použil znak „>>“ namiesto „>.„To znamená, že som namiesto prepisovania pripojil súbor s obrazom disku. Ďalej vytvoríme ďalší kontrolný súčet MD5 zmeneného obrazového súboru disku pomocou príkazu md5sum v termináli.

[chránené e-mailom]: ~ $ md5sum / media / diskImage.img> / media / changedMD5

Zadaním tohto príkazu sa vytvorí kontrolný súčet MD5 zmeneného obrazového súboru disku. Teraz máme nasledujúce súbory:

• Originálny kontrolný súčet MD5
• Kontrolný súčet obrazu disku MD5
• Kontrolný súčet obnoveného disku MD5
• Kontrolný súčet zmeneného obrazu disku MD5

Porovnávame všetky kontrolné súčty MD5

Na záver našu diskusiu porovnáme všetky kontrolné súčty MD5 vytvorené počas tohto tutoriálu. Použi kat príkaz na čítanie všetkých súborov kontrolného súčtu MD5 a ich vzájomné porovnanie:

[chránené e-mailom]: ~ $ cat / media / * MD5

Vyššie uvedený príkaz zobrazí obsah všetkých súborov kontrolného súčtu MD5. Z vyššie uvedeného obrázku vidíme, že všetky kontrolné súčty MD5 sú rovnaké, s výnimkou horného, ​​ktorý bol vytvorený zmeneným súborom obrazu disku. Týmto spôsobom teda môžeme overiť presnosť súborov pomocou súboru dd a md5sum príkazy.

Záver

Vytvorenie zálohy vašich údajov je dôležitá stratégia ich obnovenia v prípade katastrofy, ale zálohovanie je zbytočné, ak sa vaše dáta poškodia uprostred prenosu. Aby ste sa uistili, že prenos údajov je presný, môžete pomocou niektorých nástrojov vykonať akcie s údajmi a overiť, či boli údaje počas procesu kopírovania poškodené.

The dd command je vstavaný nástroj príkazového riadku používaný na vytváranie obrazových súborov údajov uložených na diskoch. Môžete tiež použiť md5sum príkaz na vytvorenie kontrolného súčtu MD5 novovytvoreného obrázka, ktorý overuje presnosť kopírovaných údajov, vykonanie forenznej analýzy prenesených údajov spolu s dd príkaz. V tomto výučbe sa diskutovalo o tom, ako používať dd a md5sum nástroje v forenznom kontexte na zabezpečenie presnosti kopírovaných údajov na disku.