Как использовать команду dd в криминалистике

При использовании командной строки в Ubuntu вам может потребоваться скопировать файл из одного места в другое. Вы также можете убедиться, что данные точно скопированы. Например, предположим, что вам нужна резервная копия вашего диска, и вы хотите убедиться, что она создана правильно. Для выполнения этого действия вы можете использовать утилиту командной строки dd ( Data Dump ), доступную во многих дистрибутивах Linux, таких как Ubuntu и Fedora. Инструмент dd — это встроенная утилита командной строки, и вам не нужно устанавливать ее перед использованием этого инструмента. Основная цель этой команды — переносить данные с одного диска на другой, а также следить за тем, чтобы сами данные не были изменены. Способность этого инструмента точно перемещать данные с одного устройства на другое делает его популярным инструментом для резервного копирования ваших данных. Без md5sum инструмент dd только передает данные с диска на диск, но если вы используете инструмент dd с md5sum, вы можете гарантировать, что передача данных не будет поврежден. В этом руководстве будут рассмотрены различные варианты использования команды dd , особенно в контексте Forensics .

Начало работы с командой dd

Чтобы начать работу с командой dd , сначала откройте терминал, нажав Ctrl + Alt + T . Затем выполните следующую команду:

Выполнение указанной выше команды отобразит руководство пользователя команды dd . Команда dd используется с некоторыми параметрами. Чтобы вывести список всех доступных параметров, выполните в терминале следующую команду:

Приведенная выше команда предоставит вам все доступные параметры, которые можно использовать с командой dd . В этой статье не будут обсуждаться все доступные варианты, а будут рассмотрены только те, которые относятся к данной теме. Ниже перечислены некоторые из наиболее важных параметров команды dd :

• bs = B : Этот параметр устанавливает количество байтов B, которые могут быть прочитаны или записаны в любое время при создании файла образа диска. Значение по умолчанию для bs составляет 512 байт.
• cbs = B : этот параметр устанавливает количество байтов B, которые могут быть преобразованы за раз во время любого процесса.
• count = N : этот параметр устанавливает количество N входных блоков данных для копирования.
• if = DEST : этот параметр берет файл из целевого DEST.
• of = DEST : этот параметр сохраняет файл в целевом DEST. .

Важные термины для ознакомления

В этом руководстве, обсуждая команду dd в контексте судебной экспертизы, мы будем использовать некоторые технические термины, с которыми вы должны быть знакомы, прежде чем проходить обучение.. Следующие термины будут многократно использоваться на протяжении всего руководства:

• Контрольная сумма MD5: Контрольная сумма MD5 — это сгенерированная 32-символьная строка. алгоритмом хеширования, уникальным для разных данных. Никакие два разных файла не могут иметь одинаковую контрольную сумму MD5.
• md5sum: md5sum — это утилита командной строки, используемая для реализации 128-битного алгоритма хеширования. также используется для генерации контрольной суммы MD5 уникальных данных. Мы будем использовать md5sum в руководстве в этой статье для генерации контрольных сумм данных MD5.
• Файл образа диска: Файл образа диска является точной копией диска из которого он создан. Можно сказать, что это моментальный снимок диска. При необходимости мы можем восстановить данные на нашем диске из этого файла образа диска. Размер этого файла точно такой же, как у самого диска. Мы будем использовать команду dd для создания файла образа диска из диска.

Обзор руководства

В В этом руководстве мы создадим систему резервного копирования и проверим правильность резервного копирования данных с помощью команд dd и md5sum . Сначала мы укажем диск, для которого хотим создать резервную копию. Затем мы воспользуемся утилитой командной строки dd для создания файла образа диска. Затем мы создадим контрольные суммы MD5 как для диска, так и для файла образа диска, чтобы проверить, является ли файл образа диска точным. После этого мы восстановим диск из файла образа диска. Затем мы сгенерируем контрольную сумму MD5 восстановленного диска и проверим ее, сравнив ее с контрольной суммой MD5 исходного диска. Наконец, мы изменим файл образа диска и создадим контрольную сумму MD5 из этого измененного файла образа диска, чтобы проверить точность. Контрольная сумма MD5 измененного файла образа диска не должна совпадать с контрольной суммой исходного файла.

Команда dd в контексте судебной экспертизы

dd по умолчанию входит во многие дистрибутивы Linux (Fedora, Ubuntu и т. д.). Помимо выполнения простых действий с данными, команду dd также можно использовать для выполнения некоторых основных задач судебной экспертизы. В этом руководстве мы будем использовать команду dd вместе с md5sum , чтобы проверить точное создание образа диска с исходного диска.

Действия, которые необходимо выполнить

Ниже приведены шаги, необходимые для проверки образа звукового диска с помощью md5sum и dd команды.

• Создать контрольную сумму MD5 диска с помощью команды md5sum
• Создать файл образа диска с помощью Команда dd
• Создайте контрольную сумму MD5 для файла изображения с помощью команды md5sum
• Сравнить контрольная сумма MD5 файла образа диска с контрольной суммой MD5 диска
• Восстановить диск из файла образа диска
• Создать контрольную сумму MD5 восстановленного диска
• Проверить контрольную сумму MD5 с измененным файлом изображения
• Сравнить все контрольные суммы MD5

Теперь мы обсудим все шаги подробнее, чтобы лучше показать, как все работает с этими командами.

Создание контрольной суммы MD5 диска

Для начала войдите в систему как пользователь root. Чтобы войти в систему как пользователь root, выполните в терминале следующую команду. Вам будет предложено ввести пароль. Введите пароль root и начните как пользователь root.

Перед созданием контрольную сумму MD5, сначала выберите диск, который вы хотите использовать. Чтобы вывести список всех доступных дисков на вашем устройстве, выполните в терминале следующую команду:

В этом руководстве я буду использовать /dev На моем устройстве доступен диск/sdb1 . Вы можете выбрать подходящий диск из своего устройства для использования.

ПРИМЕЧАНИЕ. Выбирайте этот диск с умом и используйте команду dd -line в безопасной среде, поскольку при неправильном использовании она может иметь разрушительные последствия для вашего диска.

Создайте исходный файл MD5 в файле /media и запустите команду md5sum в терминале, чтобы создать контрольную сумму MD5 для диска.

Когда вы запускаете вышеуказанные команды, он создает файл в месте назначения, указанном параметром, и сохраняет контрольную сумму MD5 диска (в данном случае/dev/sdb1) в файле.

ПРИМЕЧАНИЕ. Выполнение команды md5sum может занять некоторое время в зависимости от размера диска и скорости процессора вашей системы.

Вы можете прочитать контрольную сумму MD5 диска с помощью запустите следующую команду в терминале, которая выдаст контрольную сумму, а также имя диска:

Создание файла образа диска

Теперь мы будем использовать команду dd для создания файла образа диска. Выполните следующую команду в терминале, чтобы создать файл изображения.

Это создаст файл в указанном месте. Команда dd не работает сама по себе. Вы также должны указать некоторые параметры в этой команде. параметры, включенные в команду dd , имеют следующее значение:

• Если: путь для ввода образ файла или диска, который нужно скопировать.
• of: Путь для вывода файла изображения, полученного из if
• bs: Размер блока; в этом примере мы используем размер блока 1 КБ или 1024 Байт.

ПРИМЕЧАНИЕ. Не пытайтесь читать или открывать файл образа диска, так как он такого же размера, как и ваш диск, и вы можете получить ручную систему. не забудьте указать расположение этого файла с умом из-за его большего размера.

Создание контрольной суммы MD5 файла изображения

Мы создадим контрольную сумму MD5 для диска файл изображения, созданный на предыдущем шаге с использованием той же процедуры Ур, выполненный на первом этапе. Выполните следующую команду в терминале, чтобы создать контрольную сумму MD5 для файла образа диска:

Это создаст контрольную сумму MD5 файла образа диска. Теперь у нас есть следующие файлы:

• Контрольная сумма MD5 диска
• Файл образа диска
• Контрольная сумма MD5 файла изображения

Сравнение контрольных сумм MD5

Итак, мы создали контрольную сумму MD5 для диска и образа диска файл. Затем, чтобы проверить, был ли создан точный образ диска, мы сравним контрольные суммы как самого диска, так и файла образа диска. Введите в терминале следующие команды, чтобы распечатать текст обоих файлов для сравнения двух файлов:

Эти команды будут отображать содержимое обоих файлов. Контрольная сумма MD5 обоих файлов должна быть одинаковой. Если контрольные суммы файлов MD5 не совпадают, значит, при создании файла образа диска возникла проблема.

Восстановление диска из файла образа

Затем мы восстановим исходный диск из файла образа диска с помощью dd . Введите в терминале следующую команду, чтобы восстановить исходный диск из файла образа диска:

Вышеупомянутая команда аналогична той, которая используется для создания файла образа диска. Однако в этом случае вход и выход переключаются, меняя направление потока данных, чтобы восстановить диск из файла образа диска.. После ввода вышеуказанной команды мы восстановили наш диск из файла образа диска.

Создание контрольной суммы MD5 восстановленного диска

Затем мы создадим Контрольная сумма MD5 диска, восстановленного из файла образа диска. Введите следующую команду для создания контрольной суммы MD5 восстановленного диска:

Используя указанную выше команду, создал контрольную сумму MD5 восстановленного диск и отобразил его в терминале. Мы можем сравнить контрольную сумму MD5 восстановленного диска с контрольной суммой MD5 исходного диска. Если оба они одинаковы, это означает, что мы точно восстановили наш диск из образа диска.

Проверка контрольной суммы MD5 по измененному файлу образа

Пока что, мы сравнили контрольные суммы MD5 точно созданных дисков и файлов образов дисков. Затем мы воспользуемся этим криминалистическим анализом, чтобы проверить точность измененного файла образа диска. Измените файл образа диска, выполнив следующую команду в терминале.

Теперь мы изменили файл образа нашего диска, и он уже не такой, как раньше. Обратите внимание, что я использовал знак «>>» вместо «>». Это означает, что я добавил файл образа диска, а не переписывал его. Затем мы создадим другую контрольную сумму MD5 для измененного файла образа диска с помощью команды md5sum в терминале.

Ввод этого команда создаст контрольную сумму MD5 измененного файла образа диска. Теперь у нас есть следующие файлы:

• Исходная контрольная сумма MD5
• Контрольная сумма MD5 образа диска
• Восстановленный MD5 диска контрольная сумма
• Изменена контрольная сумма MD5 образа диска

Сравнение всех контрольных сумм MD5

Мы завершим наше обсуждение сравнением всех контрольных сумм MD5, созданных в этом руководстве. Используйте команду cat , чтобы прочитать все файлы контрольной суммы MD5 и сравнить их друг с другом:

Приведенная выше команда отобразит содержимое всех файлов контрольной суммы MD5. Из изображения выше видно, что все контрольные суммы MD5 равны, за исключением верхней, которая была создана с измененным файлом образа диска. Таким образом, мы можем проверить точность файлов с помощью команд dd и md5sum .

Заключение

Создание резервной копии ваших данных — важная стратегия для их восстановления в случае аварии, но резервная копия бесполезна, если ваши данные будут повреждены в середине передачи.. Чтобы гарантировать точность передачи данных, вы можете использовать некоторые инструменты для выполнения действий с данными, чтобы проверить, были ли данные повреждены в процессе копирования.

dd — это встроенная утилита командной строки, используемая для создания файлов образов данных, хранящихся на дисках. Вы также можете использовать команду md5sum , чтобы создать контрольную сумму MD5 для вновь созданного образа, которая подтверждает точность скопированных данных, для выполнения криминалистической экспертизы переданных данных вместе с dd . В этом руководстве обсуждалось, как использовать инструменты dd и md5sum в контексте судебной экспертизы для обеспечения точности скопированных данных на диске.