Cara Menggunakan Perintah dd di Forensik

Semasa menggunakan baris perintah di Ubuntu, anda mungkin perlu menyalin fail dari satu tempat ke tempat lain. Anda mungkin juga ingin memastikan bahawa data disalin dengan tepat. Sebagai contoh, katakan anda mahukan sandaran cakera anda dan anda ingin memastikannya disandarkan dengan tepat. Untuk melakukan tindakan ini, anda boleh menggunakan dd (Lambakan Datautiliti baris perintah yang terdapat di banyak pengedaran Linux, seperti Ubuntu dan Fedora. The dd alat adalah utiliti baris perintah terbina dalam, dan anda tidak perlu memasangnya sebelum menggunakan alat ini. Tujuan asas perintah ini adalah untuk memindahkan data dari satu pemacu ke pemacu yang lain sambil memastikan bahawa data itu sendiri tidak berubah. Kemampuan alat ini untuk memindahkan data dari satu peranti ke peranti lain dengan tepat menjadikannya alat yang popular untuk membuat sandaran data anda. Tanpa md5sum, yang dd alat hanya memindahkan data dari pemacu ke pemacu, tetapi jika anda menggunakan dd alat dengan md5sum, maka anda dapat memastikan bahawa pemindahan data tidak akan rosak. Tutorial ini akan membincangkan beberapa kes penggunaan yang berbeza dari dd perintah, terutamanya dalam konteks Forensik.

Bermula dengan Perintah dd

Untuk memulakan dengan dd arahan, pertama, buka terminal dengan menekan Ctrl + Alt + T. Kemudian, jalankan arahan berikut:

[dilindungi e-mel]: ~ $ man dd

Menjalankan perintah di atas akan memaparkan manual pengguna dd perintah. The dd arahan digunakan dengan beberapa parameter. Untuk menyenaraikan semua parameter yang tersedia, jalankan perintah berikut di terminal:

[dilindungi e-mel]: ~ $ dd --help

Perintah di atas akan memberi anda semua pilihan yang ada yang dapat digunakan dengan dd perintah. Artikel ini tidak akan membincangkan semua pilihan yang ada, tetapi hanya yang berkaitan dengan topik yang diberikan. Di bawah ini disenaraikan beberapa parameter terpenting dari dd arahan:

• bs = B: Parameter ini menetapkan bilangan bait B yang dapat dibaca atau ditulis pada bila-bila masa semasa membuat fail gambar cakera. Nilai lalai bs adalah 512 bait.
• cbs = B: Parameter ini menetapkan bilangan bait B yang dapat ditukar pada satu masa selama proses apa pun.
• kiraan = N: Parameter ini menetapkan bilangan N blok input data yang akan disalin.
• jika = DEST: Parameter ini mengambil fail dari DEST tujuan.
• daripada = DEST: Parameter ini menyimpan fail ke DEST tujuan.

Syarat Penting untuk Disemak

Dalam tutorial ini, semasa membincangkan dd dalam konteks forensik, kami akan menggunakan beberapa istilah teknikal yang mesti anda ketahui sebelum menjalani tutorial. Berikut adalah istilah yang akan digunakan berulang kali sepanjang tutorial:

• Pemeriksaan MD5: Chequum MD5 adalah rentetan 32-aksara yang dihasilkan oleh algoritma hashing yang unik untuk data yang berbeza. Tidak ada dua fail yang berbeza yang dapat memiliki checksum MD5 yang sama.
• jumlah md5: Md5sum adalah utiliti baris perintah yang digunakan untuk menerapkan algoritma hash 128-bit dan juga digunakan untuk menghasilkan checksum MD5 data unik. Kami akan menggunakan md5sum dalam tutorial dalam artikel ini untuk menghasilkan data ringkasan MD5.
• Fail Imej Cakera: Fail gambar cakera adalah salinan cakera yang tepat dari mana ia dibuat. Kita boleh mengatakan bahawa ia adalah snapshot titik dalam disk. Kami dapat memulihkan data cakera kami dari fail gambar cakera ini apabila diperlukan. Fail ini berukuran sama dengan cakera itu sendiri. Kami akan menggunakan dd arahan untuk membuat fail gambar cakera dari cakera.

Tinjauan Tutorial

Dalam tutorial ini, kami akan membuat sistem sandaran dan mengesahkan sama ada data disandarkan dengan tepat dengan dd dan md5sum arahan. Pertama, kami akan menentukan cakera yang ingin kami buat sandaran. Seterusnya, kami akan menggunakan dd utiliti baris perintah untuk membuat fail gambar cakera cakera. Kemudian, kami akan membuat checksum MD5 kedua-dua fail imej cakera dan cakera untuk mengesahkan sama ada fail imej cakera itu tepat. Selepas ini, kami akan memulihkan cakera dari fail gambar cakera. Kami kemudian akan menghasilkan checksum MD5 cakera yang dipulihkan dan mengesahkannya dengan membandingkannya dengan checksum MD5 cakera asal. Akhirnya, kami akan menukar fail imej cakera dan membuat checksum MD5 dari fail gambar cakera yang diubah ini untuk menguji ketepatannya. Chesum MD5 fail gambar cakera yang diubah tidak boleh sama dengan fail asal.

Perintah dd dalam Konteks Forensik

The dd arahan datang secara lalai dengan banyak pengedaran Linux (Fedora, Ubuntu, dll.). Selain melakukan tindakan sederhana pada data, the dd arahan juga boleh digunakan untuk melaksanakan beberapa tugas forensik asas. Dalam tutorial ini, kita akan menggunakan dd perintah, bersama dengan md5sum, untuk mengesahkan pembuatan imej cakera yang tepat dari cakera asal.

Langkah-Langkah yang Perlu Diikuti

Berikut adalah langkah-langkah yang diperlukan untuk mengesahkan gambar cakera bunyi menggunakan md5sum dan dd arahan.

• Buat MD5 checksum cakera menggunakan md5sum perintah
• Buat fail gambar cakera menggunakan dd perintah
• Buat MD5 checksum fail gambar menggunakan md5sum perintah
• Bandingkan checksum MD5 fail imej cakera dengan checksum MD5 cakera
• Pulihkan cakera dari fail imej cakera
• Buat MD5 checksum cakera yang dipulihkan
• Uji checksum MD5 terhadap fail gambar yang diubah
• Bandingkan semua checksum MD5

Sekarang, kita akan membincangkan semua langkah secara terperinci, untuk menunjukkan dengan lebih baik bagaimana sesuatu berfungsi dengan perintah ini.

Membuat MD5 checksum Cakera

Untuk memulakan, log masuk dahulu sebagai pengguna root. Untuk log masuk sebagai pengguna root, jalankan arahan berikut di terminal. Anda kemudian akan diminta memasukkan kata laluan. Masukkan kata laluan root anda dan mulakan sebagai pengguna root.

[dilindungi e-mel]: ~ $ sudo su

Sebelum membuat checksum MD5, pertama, pilih cakera yang ingin anda gunakan. Untuk menyenaraikan semua cakera yang ada pada peranti anda, jalankan perintah berikut di terminal:

[dilindungi e-mel]: ~ $ df -h

Untuk tutorial ini, saya akan menggunakan / dev / sdb1 cakera tersedia pada peranti saya. Anda boleh memilih cakera yang sesuai dari peranti anda untuk digunakan.

NOTA: Pilih cakera ini dengan bijak dan gunakan dd utiliti baris perintah dalam persekitaran yang selamat, kerana ia boleh membawa kesan buruk pada cakera anda jika tidak digunakan dengan betul.

Buat fail MD5 asli di / media fail dan jalankan perintah md5sum di terminal untuk membuat MD5 checksum cakera.

[dilindungi e-mel]: ~ $ touch / media / originalMD5
[dilindungi e-mel]: ~ $ md5sum / dev / sdb1> / media / originalMD5

Apabila anda menjalankan perintah di atas, ia akan membuat fail di tujuan yang ditentukan oleh parameter dan menyimpan MD5 checksum cakera (/ dev / sdb1, dalam hal ini) dalam fail.

NOTA: Perintah md5sum memerlukan sedikit masa untuk dijalankan, bergantung pada ukuran cakera dan kelajuan pemproses sistem anda.

Anda boleh membaca checksum MD5 cakera dengan menjalankan perintah berikut di terminal, yang akan memberikan checksum, serta nama cakera:

[dilindungi e-mel]: ~ $ cat / media / originalMD5

Membuat Fail Imej Cakera

Sekarang, kita akan menggunakan dd arahan untuk membuat fail gambar cakera. Jalankan arahan berikut di terminal untuk membuat fail gambar.

[dilindungi e-mel]: ~ $ dd if = / dev / sdb1 of = / media / diskImage.img bs = 1k

Ini akan membuat fail di lokasi yang ditentukan. The dd arahan tidak berfungsi sendiri. Anda juga mesti menentukan beberapa pilihan dalam arahan ini. Pilihan yang disertakan dengan dd arahan mempunyai maksud berikut:

• Sekiranya: Laluan untuk memasukkan gambar fail atau drive yang akan disalin.
• daripada: Laluan untuk mengeluarkan fail gambar yang diperoleh dari sekiranya
• bs: Saiz blok; dalam contoh ini, kita menggunakan ukuran blok 1k atau 1024B.

NOTA: Jangan cuba membaca atau membuka fail gambar cakera, kerana ukurannya sama dengan cakera anda, dan anda mungkin berakhir dengan sistem tangan. Juga, pastikan untuk menentukan lokasi fail ini dengan bijak kerana ukurannya lebih besar.

Membuat checksum MD5 dari Fail Gambar

Kami akan membuat checksum MD5 fail gambar cakera yang dibuat pada langkah sebelumnya menggunakan prosedur yang sama yang dilakukan pada langkah pertama. Jalankan arahan berikut di terminal untuk membuat checksum MD5 fail imej cakera:

[dilindungi e-mel]: ~ $ md5sum / media / diskImage.img> / media / gambarMD5

Ini akan membuat checksum MD5 fail gambar cakera. Sekarang, kami mempunyai fail berikut:

• Pemeriksaan MD5 cakera
• Fail gambar cakera cakera
• Pemeriksaan MD5 fail gambar

Membandingkan MD5 Checksums

Setakat ini, kami telah membuat checksum MD5 cakera dan fail imej cakera. Seterusnya, untuk memeriksa sama ada imej cakera yang tepat telah dibuat, kami akan membandingkan jumlah cek cakera itu sendiri dan fail imej cakera. Masukkan perintah berikut di terminal anda untuk mencetak teks kedua-dua fail untuk membandingkan dua fail:

[dilindungi e-mel]: ~ $ cat / media / originalMD5
[dilindungi e-mel]: ~ $ cat / media / imageMD5

Perintah ini akan memaparkan kandungan kedua-dua fail. Pemeriksaan MD5 kedua-dua fail mestilah sama. Sekiranya jumlah pemeriksaan MD5 fail tidak sama, pasti ada masalah yang berlaku semasa membuat fail gambar cakera.

Memulihkan Cakera dari Fail Gambar

Seterusnya, kami akan memulihkan cakera asal dari fail gambar cakera menggunakan dd perintah. Ketik perintah berikut di terminal untuk memulihkan cakera asal dari fail imej cakera:

[dilindungi e-mel]: ~ $ dd if = / media / diskImage.img = / dev / sdb1 bs = 1k

Perintah di atas serupa dengan yang digunakan untuk membuat fail gambar cakera cakera. Namun, dalam hal ini, input dan output dialihkan, membalikkan aliran data untuk memulihkan disk dari file gambar disk. Setelah memasukkan perintah di atas, kami kini telah memulihkan cakera kami dari fail gambar cakera.

Membuat MD5 Checksum dari Disk Restored

Seterusnya, kami akan membuat checksum MD5 cakera yang dipulihkan dari fail imej cakera. Ketik arahan berikut untuk membuat checksum MD5 cakera yang dipulihkan:

[dilindungi e-mel]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Dengan menggunakan perintah di atas, buat checksum MD5 disk yang dipulihkan dan paparkannya di terminal. Kita dapat membandingkan checksum MD5 disk yang dipulihkan dengan checksum MD5 cakera asal. Sekiranya kedua-duanya sama, ini bermaksud bahawa kami telah memulihkan cakera kami dari imej cakera dengan tepat.

Menguji Checksum MD5 Terhadap Fail Gambar yang Diubah

Setakat ini, kami telah membandingkan jumlah cek MD5 cakera dan fail imej cakera yang dibuat dengan tepat. Seterusnya, kami akan menggunakan analisis forensik ini untuk memeriksa ketepatan fail gambar cakera yang diubah. Tukar fail imej cakera dengan menjalankan perintah berikut di terminal.

[dilindungi e-mel]: ~ $ echo "abcdef" >> / media / diskImage.img

Sekarang, kami telah menukar fail imej cakera kami, dan tidak lagi sama seperti sebelumnya. Perhatikan bahawa saya telah menggunakan tanda ">>" dan bukan ">."Ini bermaksud saya telah menambahkan fail gambar cakera, bukannya menuliskannya semula. Seterusnya, kami akan membuat satu lagi checksum MD5 dari fail gambar cakera yang diubah menggunakan arahan md5sum di terminal.

[dilindungi e-mel]: ~ $ md5sum / media / diskImage.img> / media / berubahMD5

Memasukkan perintah ini akan membuat checksum MD5 dari fail gambar cakera yang diubah. Sekarang, kami mempunyai fail berikut:

• Pemeriksaan MD5 asli
• Pemeriksaan Imej Cakera MD5
• Cakera MD5 cakera yang dipulihkan
• Imej cakera MD5 diubah

Membandingkan semua MD5 Checksums

Kami akan mengakhiri perbincangan kami dengan membandingkan semua checksum MD5 yang dibuat semasa tutorial ini. Menggunakan kucing arahan untuk membaca semua fail checksum MD5 untuk membandingkannya antara satu sama lain:

[dilindungi e-mel]: ~ $ cat / media / * MD5

Perintah di atas akan memaparkan kandungan semua fail checksum MD5. Kita dapat melihat dari gambar di atas bahawa semua checksum MD5 sama, kecuali yang teratas, yang dibuat dengan fail imej cakera yang diubah. Oleh itu, dengan cara ini, kita dapat mengesahkan ketepatan fail menggunakan dd dan md5sum arahan.

Kesimpulannya

Membuat sandaran data anda adalah strategi penting untuk memulihkannya sekiranya berlaku bencana, tetapi sandaran tidak akan berguna jika data anda rosak di tengah pemindahan. Untuk memastikan bahawa pemindahan data tepat, Anda dapat menggunakan beberapa alat untuk melakukan tindakan pada data untuk mengesahkan apakah data tersebut telah rusak melalui proses penyalinan.

The dd perintah adalah utiliti baris perintah terbina dalam yang digunakan untuk membuat fail gambar data yang disimpan dalam cakera. Anda juga boleh menggunakan md5sum perintah untuk membuat checksum MD5 dari gambar yang baru dibuat, yang mengesahkan ketepatan data yang disalin, untuk melakukan forensik pada data yang dipindahkan bersama dengan dd perintah. Tutorial ini membincangkan cara menggunakan dd dan md5sum alat dalam konteks forensik untuk memastikan ketepatan data cakera yang disalin.