Como usar o comando dd em ciência forense

Ao usar a linha de comando no Ubuntu, você pode precisar copiar um arquivo de um lugar para outro. Você também pode querer ter certeza de que os dados foram copiados com precisão. Por exemplo, digamos que você queira um backup do seu disco e tenha certeza de que foi feito um backup preciso. Para realizar esta ação, você pode usar o dd (Despejo de Dados) utilitário de linha de comando disponível em muitas distribuições Linux, como Ubuntu e Fedora. O dd ferramenta é um utilitário de linha de comando embutido e você não precisa instalá-lo antes de usar esta ferramenta. O objetivo básico deste comando é transferir dados de uma unidade para outra, ao mesmo tempo que se certifica de que os próprios dados não sejam alterados. A capacidade desta ferramenta de mover dados com precisão de um dispositivo para outro a torna uma ferramenta popular para fazer backup de seus dados. Sem md5sum, o dd ferramenta apenas transfere dados de unidade para unidade, mas se você usar o dd ferramenta com md5sum, então você pode garantir que a transferência de dados não será corrompida. Este tutorial irá discutir alguns casos de uso diferentes do dd comando, particularmente no contexto de forense.

Primeiros passos com o comando dd

Para começar com o dd comando, primeiro, abra o terminal pressionando Ctrl + Alt + T. Em seguida, execute o seguinte comando:

[email protegido]: ~ $ man dd

Executar o comando acima exibirá o manual do usuário do dd comando. O dd comando é usado com alguns parâmetros. Para listar todos os parâmetros disponíveis, execute o seguinte comando no terminal:

[email protegido]: ~ $ dd --help

O comando acima lhe dará todas as opções disponíveis que podem ser usadas com o dd comando. Este artigo não discutirá todas as opções disponíveis, mas apenas aquelas relacionadas ao tópico fornecido. Abaixo estão listados alguns dos parâmetros mais importantes do dd comando:

• bs = B: Este parâmetro define o número de bytes B que podem ser lidos ou gravados a qualquer momento durante a criação de um arquivo de imagem de disco. O valor padrão de bs é 512 bytes.
• cbs = B: Este parâmetro define o número de bytes B que podem ser convertidos por vez durante qualquer processo.
• contagem = N: Este parâmetro define o número N de blocos de entrada de dados a serem copiados.
• if = DEST: Este parâmetro leva o arquivo do destino DEST.
• de = DEST: Este parâmetro salva o arquivo no destino DEST.

Termos importantes para revisão

Neste tutorial, ao discutir o dd no contexto forense, usaremos alguns termos técnicos com os quais você deve estar familiarizado antes de seguir o tutorial. A seguir estão os termos que serão usados ​​repetidamente ao longo do tutorial:

• MD5 checksum: A soma de verificação MD5 é a string de 32 caracteres gerada por um algoritmo de hash único para dados diferentes. Dois arquivos diferentes não podem ter a mesma soma de verificação MD5.
• md5sum: O md5sum é um utilitário de linha de comando usado para implementar um algoritmo de hash de 128 bits e também é usado para gerar um checksum MD5 de dados exclusivos. Usaremos md5sum no tutorial deste artigo para gerar checksums MD5 de dados.
• Arquivo de imagem de disco: O arquivo de imagem do disco é a cópia exata do disco a partir do qual foi criado. Podemos dizer que é um instantâneo pontual do disco. Podemos restaurar nossos dados de disco a partir deste arquivo de imagem de disco quando necessário. Este arquivo tem exatamente o mesmo tamanho do próprio disco. Nós vamos usar o dd comando para criar um arquivo de imagem de disco a partir do disco.

Visão geral do tutorial

Neste tutorial, criaremos um sistema de backup e verificaremos se o backup dos dados foi feito com precisão com o dd e md5sum comandos. Primeiro, vamos especificar o disco do qual queremos criar um backup. Em seguida, usaremos o dd utilitário de linha de comando para criar um arquivo de imagem de disco do disco. Em seguida, criaremos checksums MD5 do disco e do arquivo de imagem de disco para verificar se o arquivo de imagem de disco é preciso. Depois disso, iremos restaurar o disco a partir do arquivo de imagem de disco. Em seguida, geraremos um checksum MD5 do disco restaurado e o verificaremos comparando-o com o checksum MD5 do disco original. Finalmente, vamos mudar o arquivo de imagem de disco e criar a soma de verificação MD5 a partir desse arquivo de imagem de disco alterado para testar a precisão. A soma de verificação MD5 do arquivo de imagem de disco alterado não deve ser a mesma do arquivo original.

O comando dd em um contexto forense

O dd comando vem por padrão com muitas distribuições Linux (Fedora, Ubuntu, etc.). Além de realizar ações simples nos dados, o dd comando também pode ser usado para realizar algumas tarefas forenses básicas. Neste tutorial, usaremos o dd comando, junto com md5sum, para verificar a criação precisa da imagem do disco a partir do disco original.

Passos a seguir

Abaixo estão as etapas necessárias para verificar uma imagem de disco de som usando o md5sum e dd comandos.

• Crie a soma de verificação MD5 do disco usando o md5sum comando
• Crie um arquivo de imagem do disco usando o dd comando
• Crie a soma de verificação MD5 do arquivo de imagem usando o md5sum comando
• Compare a soma de verificação MD5 do arquivo de imagem de disco com a soma de verificação MD5 do disco
• Restaure o disco a partir do arquivo de imagem do disco
• Criar checksum MD5 do disco restaurado
• Teste a soma de verificação MD5 contra o arquivo de imagem alterado
• Compare todas as somas de verificação MD5

Agora, vamos discutir todas as etapas em detalhes, para mostrar melhor como as coisas funcionam com esses comandos.

Criação de uma soma de verificação MD5 do disco

Para começar, primeiro faça login como usuário root. Para fazer login como usuário root, execute o seguinte comando no terminal. Em seguida, será solicitada a senha. Digite sua senha de root e comece como um usuário root.

[email protegido]: ~ $ sudo su

Antes de criar a soma de verificação MD5, primeiro selecione o disco que deseja usar. Para listar todos os discos disponíveis em seu dispositivo, execute o seguinte comando no terminal:

[email protegido]: ~ $ df -h

Para este tutorial, vou usar o / dev / sdb1 disco disponível no meu dispositivo. Você pode escolher um disco apropriado do seu dispositivo para usar.

NOTA: Escolha este disco com sabedoria e use o dd utilitário de linha de comando em um ambiente seguro, pois pode ter efeitos devastadores em seu disco se não for usado corretamente.

Crie um arquivo MD5 original no /meios de comunicação arquivo e execute o comando md5sum no terminal para criar uma soma de verificação MD5 do disco.

[email protegido]: ~ $ touch / media / originalMD5
[email protegido]: ~ $ md5sum / dev / sdb1> / media / originalMD5

Quando você executa os comandos acima, ele cria um arquivo no destino especificado pelo parâmetro e salva a soma de verificação MD5 do disco (/ dev / sdb1, neste caso) no arquivo.

NOTA: O comando md5sum pode levar algum tempo para ser executado, dependendo do tamanho do disco e da velocidade do processador do seu sistema.

Você pode ler a soma de verificação MD5 do disco executando o seguinte comando no terminal, que fornecerá a soma de verificação, bem como o nome do disco:

[email protegido]: ~ $ cat / media / originalMD5

Criando um arquivo de imagem do disco

Agora, vamos usar o dd comando para criar um arquivo de imagem do disco. Execute o seguinte comando no terminal para criar um arquivo de imagem.

[email protegido]: ~ $ dd if = / dev / sdb1 de = / media / diskImage.img bs = 1k

Isso criará um arquivo no local especificado. O dd comando não funciona sozinho. Você também deve especificar algumas opções dentro deste comando. As opções incluídas com o dd comando tem o seguinte significado:

• Se: O caminho para inserir a imagem do arquivo ou unidade a ser copiada.
• de: O caminho para a saída do arquivo de imagem obtido do E se
• bs: O tamanho do bloco; neste exemplo, estamos usando um tamanho de bloco de 1k ou 1024B.

NOTA: Não tente ler ou abrir o arquivo de imagem do disco, pois é do mesmo tamanho que o do seu disco, e você pode acabar com um sistema manual. Além disso, certifique-se de especificar a localização deste arquivo com sabedoria devido ao seu tamanho maior.

Criação de uma soma de verificação MD5 do arquivo de imagem

Vamos criar uma soma de verificação MD5 do arquivo de imagem de disco criado na etapa anterior usando o mesmo procedimento executado na primeira etapa. Execute o seguinte comando no terminal para criar uma soma de verificação MD5 do arquivo de imagem de disco:

[email protegido]: ~ $ md5sum / media / diskImage.img> / media / imageMD5

Isso criará uma soma de verificação MD5 do arquivo de imagem de disco. Agora, temos os seguintes arquivos disponíveis:

• MD5 checksum do disco
• Arquivo de imagem de disco do disco
• Soma de verificação MD5 do arquivo de imagem

Comparando somas de verificação MD5

Até agora, criamos uma soma de verificação MD5 do disco e do arquivo de imagem de disco. Em seguida, para verificar se uma imagem de disco precisa foi criada, compararemos as somas de verificação do próprio disco e do arquivo de imagem de disco. Digite os seguintes comandos em seu terminal para imprimir o texto de ambos os arquivos para comparar os dois arquivos:

[email protegido]: ~ $ cat / media / originalMD5
[email protegido]: ~ $ cat / media / imageMD5

Estes comandos irão mostrar o conteúdo de ambos os arquivos. A soma de verificação MD5 de ambos os arquivos deve ser a mesma. Se as somas de verificação MD5 dos arquivos não forem iguais, deve ter ocorrido um problema durante a criação do arquivo de imagem de disco.

Restaurando o disco do arquivo de imagem

Em seguida, vamos restaurar o disco original do arquivo de imagem de disco usando o dd comando. Digite o seguinte comando no terminal para restaurar o disco original do arquivo de imagem de disco:

[email protegido]: ~ $ dd if = / media / diskImage.img de = / dev / sdb1 bs = 1k

O comando acima é semelhante ao usado para criar um arquivo de imagem de disco do disco. Nesse caso, no entanto, a entrada e a saída são trocadas, revertendo o fluxo de dados para restaurar o disco a partir do arquivo de imagem do disco. Depois de inserir o comando acima, agora restauramos nosso disco a partir do arquivo de imagem de disco.

Criando uma soma de verificação MD5 do disco restaurado

A seguir, criaremos uma soma de verificação MD5 do disco restaurado a partir do arquivo de imagem de disco. Digite o seguinte comando para criar uma soma de verificação MD5 do disco restaurado:

[email protegido]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Usando o comando acima, crie uma soma de verificação MD5 do disco restaurado e a exiba no terminal. Podemos comparar a soma de verificação MD5 do disco restaurado com a soma de verificação MD5 do disco original. Se ambos forem iguais, isso significa que restauramos com precisão nosso disco a partir da imagem do disco.

Testando a soma de verificação MD5 contra o arquivo de imagem alterado

Até agora, comparamos as somas de verificação MD5 de discos criados com precisão e arquivos de imagem de disco. A seguir, usaremos esta análise forense para verificar a precisão de um arquivo de imagem de disco alterado. Altere o arquivo de imagem de disco executando o seguinte comando no terminal.

[email protegido]: ~ $ echo “abcdef” >> / media / diskImage.img

Agora, mudamos nosso arquivo de imagem de disco e não é mais o mesmo de antes. Observe que usei o sinal “>>” em vez de “>.”Isso significa que anexei o arquivo de imagem de disco, em vez de reescrevê-lo. A seguir, criaremos outro checksum MD5 do arquivo de imagem de disco alterado usando o comando md5sum no terminal.

[email protegido]: ~ $ md5sum / media / diskImage.img> / media / changedMD5

Inserir este comando criará uma soma de verificação MD5 do arquivo de imagem de disco alterado. Agora, temos os seguintes arquivos:

• Soma de verificação MD5 original
• Soma de verificação de imagem de disco MD5
• Soma de verificação MD5 do disco restaurado
• Soma de verificação MD5 de imagem de disco alterada

Comparando todas as somas de verificação MD5

Concluiremos nossa discussão comparando todas as somas de verificação MD5 criadas durante este tutorial. Use o gato comando para ler todos os arquivos de soma de verificação MD5 para compará-los uns com os outros:

[email protegido]: ~ $ cat / media / * MD5

O comando acima irá mostrar o conteúdo de todos os arquivos de checksum MD5. Podemos ver na imagem acima que todas as somas de verificação MD5 são iguais, exceto a de cima, que foi criada com o arquivo de imagem de disco alterado. Assim, desta forma, podemos verificar a precisão dos arquivos usando o dd e md5sum comandos.

Conclusão

Criar um backup de seus dados é uma estratégia importante para restaurá-los em caso de desastre, mas o backup é inútil se seus dados forem corrompidos no meio da transferência. Para garantir que a transferência de dados seja precisa, você pode usar algumas ferramentas para executar ações nos dados para autenticar se os dados foram corrompidos durante o processo de cópia.

O dd command é um utilitário de linha de comando embutido usado para criar arquivos de imagem dos dados armazenados em discos. Você também pode usar o md5sum comando para criar uma soma de verificação MD5 da imagem recém-criada, que autentica a precisão dos dados copiados, para realizar análises forenses nos dados transferidos junto com o dd comando. Este tutorial discutiu como usar o dd e md5sum ferramentas em um contexto forense para garantir a precisão dos dados copiados do disco.