Kā kriminālistikā izmantot komandu dd

Izmantojot Ubuntu komandrindu, jums, iespējams, būs jākopē fails no vienas vietas uz otru. Iespējams, vēlēsities arī pārliecināties, ka dati ir precīzi kopēti. Piemēram, sakiet, ka vēlaties sava diska dublējumu un vēlaties pārliecināties, vai tas ir precīzi dublēts. Lai veiktu šo darbību, varat izmantot dd (Datu izgāztuve) komandrindas lietderība, kas pieejama daudzos Linux izplatījumos, piemēram, Ubuntu un Fedora. The dd rīks ir iebūvēta komandrindas utilīta, un pirms šī rīka izmantošanas tas nav jāinstalē. Šīs komandas pamatmērķis ir datu pārsūtīšana no viena diska uz otru, vienlaikus pārliecinoties, ka paši dati netiek mainīti. Šī rīka spēja precīzi pārvietot datus no vienas ierīces uz otru padara to par populāru rīku datu dublēšanai. Bez md5sum, dd rīks pārsūta datus tikai no diska uz disku, bet, ja izmantojat dd rīks ar md5sum, tad varat pārliecināties, ka datu pārsūtīšana netiks bojāta. Šajā apmācībā tiks apspriesti daži dažādi lietojuma gadījumi dd komandai, it īpaši Kriminālistika.

Darba sākšana ar komandu dd

Lai sāktu darbu ar dd komandu, vispirms atveriet termināli, nospiežot Ctrl + Alt + T. Pēc tam izpildiet šādu komandu:

[e-pasts aizsargāts]: ~ $ man dd

Veicot iepriekš minēto komandu, tiks parādīta dd komandu. The dd komandu izmanto ar dažiem parametriem. Lai uzskaitītu visus pieejamos parametrus, terminālā izpildiet šādu komandu:

[e-pasts aizsargāts]: ~ $ dd --help

Iepriekš minētā komanda sniegs jums visas pieejamās opcijas, kuras var izmantot ar dd komandu. Šajā rakstā netiks aplūkotas visas pieejamās iespējas, bet tikai tās, kas saistītas ar doto tēmu. Zemāk ir uzskaitīti daži svarīgākie parametri dd komanda:

• bs = B: Šis parametrs nosaka B baitu skaitu, kurus jebkurā laikā var izveidot vai uzrakstīt, veidojot diska attēla failu. Bs noklusējuma vērtība ir 512 baiti.
• cbs = B: Šis parametrs nosaka to baitu skaitu, kurus var pārveidot vienlaikus jebkura procesa laikā.
• skaits = N: Šis parametrs nosaka kopējamo datu ievades bloku skaitu N.
• ja = DEST: Šis parametrs paņem failu no galamērķa DEST.
• no = DEST: Šis parametrs saglabā failu galamērķī DEST.

Svarīgi pārskatāmie noteikumi

Šajā apmācībā, apspriežot dd kriminālistikas kontekstā, mēs izmantosim dažus tehniskos terminus, kas jums jāpārzina pirms apmācības apmeklēšanas. Šie ir termini, kas tiks atkārtoti izmantoti visā apmācībā:

• MD5 kontrolsumma: MD5 kontrolsumma ir 32 rakstzīmju virkne, ko ģenerē jaukšanas algoritms, kas ir unikāls dažādiem datiem. Diviem dažādiem failiem nevar būt viena MD5 kontrolsumma.
• md5sum: Md5sum ir komandrindas lietderība, ko izmanto, lai ieviestu 128 bitu jaukšanas algoritmu, un to izmanto arī unikālu datu MD5 kontrolsummas ģenerēšanai. Šī raksta apmācībā mēs izmantosim md5sum, lai ģenerētu MD5 datu kontrolsummas.
• Diska attēla fails: Diska attēla fails ir precīza diska kopija, no kura tas ir izveidots. Mēs varam teikt, ka tas ir laika momentuzņēmums no diska. Vajadzības gadījumā mēs varam atjaunot savus diska datus no šī diska attēla faila. Šis fails ir tieši tāda paša izmēra kā pats disks. Mēs izmantosim dd komandu, lai izveidotu diska attēla failu no diska.

Apmācības pārskats

Šajā apmācībā mēs izveidosim dublēšanas sistēmu un pārbaudīsim, vai dati ir dublēti ar dd un md5sum komandas. Pirmkārt, mēs norādīsim disku, no kura mēs vēlamies izveidot dublējumu. Tālāk mēs izmantosim dd komandrindas lietderība, lai izveidotu diska diska attēla failu. Pēc tam mēs izveidosim gan diska, gan diska attēla faila MD5 kontrolsummas, lai pārbaudītu, vai diska attēla fails ir precīzs. Pēc tam mēs atjaunosim disku no diska attēla faila. Pēc tam mēs ģenerēsim atjaunotā diska MD5 kontrolsummu un pārbaudīsim to, salīdzinot to ar sākotnējā diska MD5 kontrolsummu. Visbeidzot, mēs mainīsim diska attēla failu un izveidosim MD5 kontrolsummu no šī mainītā diska attēla faila, lai pārbaudītu precizitāti. Mainītā diska attēla faila MD5 kontrolsummai nedrīkst būt tāda pati kā sākotnējā faila.

Dd komanda kriminālistikas kontekstā

The dd komanda pēc noklusējuma nāk ar daudziem Linux izplatījumiem (Fedora, Ubuntu utt.). Papildus vienkāršu darbību veikšanai ar datiem, dd komandu var izmantot arī, lai veiktu dažus kriminālistikas pamatuzdevumus. Šajā apmācībā mēs izmantosim dd komandu kopā ar md5sum, lai pārbaudītu precīzu diska attēla izveidi no sākotnējā diska.

Veicamie soļi

Tālāk ir norādītas darbības, kas nepieciešamas, lai pārbaudītu skaņas diska attēlu, izmantojot md5sum un dd komandas.

• Izveidojiet diska MD5 kontrolsummu, izmantojot md5sum komandu
• Izveidojiet diska attēla failu, izmantojot dd komandu
• Izveidojiet attēla faila MD5 kontrolsummu, izmantojot md5sum komandu
• Salīdziniet diska attēla faila MD5 kontrolsummu ar diska MD5 kontrolsummu
• Atjaunojiet disku no diska attēla faila
• Izveidojiet atjaunotā diska MD5 kontrolsummu
• Pārbaudiet MD5 kontrolsummu ar mainīto attēla failu
• Salīdziniet visas MD5 kontrolsummas

Tagad mēs detalizēti apspriedīsim visas darbības, lai labāk parādītu, kā lietas darbojas ar šīm komandām.

Diska MD5 kontrolsummas izveide

Lai sāktu, vispirms piesakieties kā root lietotājs. Lai pieteiktos kā root lietotājs, izpildiet šādu komandu terminālā. Pēc tam jums tiks lūgts ievadīt paroli. Ievadiet savu root paroli un sāciet kā root lietotājs.

[e-pasts aizsargāts]: ~ $ sudo su

Pirms MD5 kontrolsummas izveidošanas vispirms atlasiet disku, kuru vēlaties izmantot. Lai uzskaitītu visus ierīcē pieejamos diskus, terminālā izpildiet šādu komandu:

[aizsargāts ar e-pastu]: ~ $ df -h

Šajā apmācībā es izmantošu / dev / sdb1 disks ir pieejams manā ierīcē. Varat izvēlēties piemērotu disku no savas ierīces lietošanai.

PIEZĪME: Gudri izvēlieties šo disku un izmantojiet dd komandrindas lietderība drošā vidē, jo, ja to nelieto pareizi, tam var būt postoša ietekme uz jūsu disku.

Izveidojiet oriģinālu MD5 failu / mediji failu un palaidiet komandu md5sum terminālā, lai izveidotu diska MD5 kontrolsummu.

[aizsargāts pa e-pastu]: ~ $ touch / media / originalMD5
[aizsargāts pa e-pastu]: ~ $ md5sum / dev / sdb1> / media / originalMD5

Palaidot iepriekš minētās komandas, tas izveido failu parametrā norādītajā galamērķī un failā saglabā diska MD5 kontrolsummu (šajā gadījumā / dev / sdb1).

PIEZĪME: Komandas md5sum palaišana var aizņemt kādu laiku, atkarībā no diska lieluma un jūsu sistēmas procesora ātruma.

Diska MD5 kontrolsummu varat izlasīt, terminālī palaižot šādu komandu, kas sniegs kontrolsummu, kā arī diska nosaukumu:

[aizsargāts ar e-pastu]: ~ $ cat / media / originalMD5

Diska attēla faila izveide

Tagad mēs izmantosim dd komandu, lai izveidotu diska attēla failu. Lai izveidotu attēla failu, terminālā izpildiet šo komandu.

[aizsargāts pa e-pastu]: ~ $ dd if = / dev / sdb1 no = / media / diskImage.img bs = 1k

Tādējādi tiks izveidots fails norādītajā vietā. The dd komanda nedarbojas atsevišķi. Šajā komandā ir jānorāda arī dažas opcijas. Iespējas, kas iekļautas dd komandai ir šāda nozīme:

• Ja: Ceļš, lai ievadītu kopējamā faila vai diska attēlu.
• no: Attēla faila izvades ceļš, kas iegūts no ja
• bs: Bloka lielums; šajā piemērā mēs izmantojam bloka izmēru 1k vai 1024B.

PIEZĪME: Nemēģiniet lasīt vai atvērt diska attēla failu, jo tas ir tāda paša izmēra kā jūsu disks, un jūs varat nonākt ar roku sistēmu. Turklāt pārliecinieties, ka šī faila atrašanās vieta ir gudra, jo tā lielums ir lielāks.

Attēla faila MD5 kontrolsummas izveide

Izmantojot to pašu procedūru, kas veikta pirmajā solī, mēs izveidosim iepriekšējā solī izveidotā diska attēla faila MD5 kontrolsummu. Palaidiet šādu komandu terminālā, lai izveidotu diska attēla faila MD5 kontrolsummu:

[aizsargāts ar e-pastu]: ~ $ md5sum / media / diskImage.img> / media / imageMD5

Tas izveidos diska attēla faila MD5 kontrolsummu. Tagad mums ir pieejami šādi faili:

• MD5 diska kontrolsumma
• Diska diska attēla fails
• MD5 attēla faila kontrolsumma

Salīdzinot MD5 kontrolsummas

Līdz šim mēs esam izveidojuši diska un diska attēla faila MD5 kontrolsummu. Pēc tam, lai pārbaudītu, vai ir izveidots precīzs diska attēls, mēs salīdzināsim gan paša diska, gan diska attēla faila kontrolsummas. Ievadiet šādas komandas savā terminālā, lai izdrukātu abu failu tekstu un salīdzinātu abus failus:

[aizsargāts ar e-pastu]: ~ $ cat / media / originalMD5
[aizsargāts ar e-pastu]: ~ $ cat / media / imageMD5

Šīs komandas parādīs abu failu saturu. Abu failu MD5 kontrolsummai jābūt vienādai. Ja failu MD5 kontrolsummas nav vienādas, izveidojot diska attēla failu, ir jābūt problēmai.

Diska atjaunošana no attēlu faila

Pēc tam mēs atjaunosim sākotnējo disku no diska attēla faila, izmantojot dd komandu. Lai atjaunotu sākotnējo disku no diska attēla faila, terminālā ierakstiet šādu komandu:

[aizsargāts ar e-pastu]: ~ $ dd if = / media / diskImage.img = / dev / sdb1 bs = 1k

Iepriekš minētā komanda ir līdzīga tai, ko izmanto, lai izveidotu diska diska attēla failu. Tomēr šajā gadījumā ievade un izvade tiek pārslēgta, mainot datu plūsmu, lai atjaunotu disku no diska attēla faila. Pēc iepriekš minētās komandas ievadīšanas mēs tagad esam atjaunojuši disku no diska attēla faila.

Atjaunotā diska MD5 kontrolsummas izveidošana

Pēc tam mēs izveidosim diska attēla failā atjaunotā diska MD5 kontrolsummu. Lai izveidotu atjaunotā diska MD5 kontrolsummu, ierakstiet šādu komandu:

[aizsargāts ar e-pastu]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Izmantojot iepriekš minēto komandu, izveidojāt atjaunotā diska MD5 kontrolsummu un parādījis to terminālā. Mēs varam salīdzināt atjaunotā diska MD5 kontrolsummu ar sākotnējā diska MD5 kontrolsummu. Ja abi ir vienādi, tas nozīmē, ka mēs esam precīzi atjaunojuši savu disku no diska attēla.

MD5 kontrolsummas pārbaude pret izmainīto attēlu failu

Līdz šim mēs esam salīdzinājuši precīzi izveidotu disku un diska attēlu failu MD5 kontrolsummas. Pēc tam mēs izmantosim šo kriminālistikas analīzi, lai pārbaudītu mainītā diska attēla faila precizitāti. Mainiet diska attēla failu, izpildot šādu komandu terminālā.

[aizsargāts ar e-pastu]: ~ $ echo “abcdef” >> / media / diskImage.img

Tagad mēs esam mainījuši diska attēla failu, un tas vairs nav tāds pats kā iepriekš. Ņemiet vērā, ka esmu izmantojis zīmi “>>”, nevis “>”.Tas nozīmē, ka diska attēla failu esmu pievienojis, nevis pārrakstījis. Pēc tam mēs izveidosim vēl vienu mainītā diska attēla faila MD5 kontrolsummu, izmantojot termināļa komandu md5sum.

[aizsargāts ar e-pastu]: ~ $ md5sum / media / diskImage.img> / media / changedMD5

Ievadot šo komandu, tiks izveidota mainītā diska attēla faila MD5 kontrolsumma. Tagad mums ir šādi faili:

• Sākotnējā MD5 kontrolsumma
• Diska attēla MD5 kontrolsumma
• Atjaunots diska MD5 kontrolsumma
• Mainīta diska attēla MD5 kontrolsumma

Salīdzinot visas MD5 kontrolsummas

Mēs beigsim mūsu diskusiju, salīdzinot visas MD5 kontrolsummas, kas izveidotas šīs apmācības laikā. Izmantojiet kaķis komanda nolasīt visus MD5 kontrolsummas failus, lai tos salīdzinātu savā starpā:

[aizsargāts ar e-pastu]: ~ $ cat / media / * MD5

Iepriekš minētā komanda parādīs visu MD5 kontrolsummas failu saturu. No iepriekš redzamā attēla var redzēt, ka visas MD5 kontrolsummas ir vienādas, izņemot augšējo, kas tika izveidota ar mainīto diska attēla failu. Tādējādi šādā veidā mēs varam pārbaudīt failu precizitāti, izmantojot dd un md5sum komandas.

Secinājums

Datu dublējuma izveidošana ir svarīga stratēģija, lai to atjaunotu katastrofas gadījumā, taču dublēšana ir bezjēdzīga, ja dati tiek sabojāti pārsūtīšanas vidū. Lai nodrošinātu datu pārsūtīšanas pareizību, varat izmantot dažus rīkus, lai veiktu darbības ar datiem, lai autentificētu, vai kopēšanas procesā dati ir bojāti.

The dd komanda ir iebūvēta komandrindas lietderība, ko izmanto, lai izveidotu diskos saglabāto datu attēlu failus. Varat arī izmantot md5sum komandu izveidot jaunizveidotā attēla MD5 kontrolsummu, kas autentificē kopēto datu precizitāti, lai pārsūtītajiem datiem veiktu kriminālistiku kopā ar dd komandu. Šajā apmācībā tika apspriests, kā izmantot dd un md5sum rīkus kriminālistikas kontekstā, lai nodrošinātu kopētu diska datu precizitāti.