Kaip naudoti kriminalistikoje komandą dd

Naudojant komandinę eilutę „Ubuntu“ gali tekti nukopijuoti failą iš vienos vietos į kitą. Taip pat galbūt norėsite įsitikinti, kad duomenys yra tiksliai nukopijuoti. Pvz., Tarkime, kad norite disko atsarginės kopijos ir norite įsitikinti, kad ji yra tinkamai sukurta. Norėdami atlikti šį veiksmą, galite naudoti dd (Duomenų kaupimas) komandinės eilutės įrankis, prieinamas daugelyje „Linux“ paskirstymų, tokių kaip „Ubuntu“ ir „Fedora“. The dd įrankis yra įmontuotas komandinės eilutės įrankis, kurio nereikia įdiegti prieš naudodami šį įrankį. Pagrindinis šios komandos tikslas yra perduoti duomenis iš vieno disko į kitą, kartu užtikrinant, kad patys duomenys nebūtų pakeisti. Dėl šio įrankio galimybės tiksliai perkelti duomenis iš vieno įrenginio į kitą, jis yra populiarus įrankis atsarginėms duomenų kopijoms kurti. Be md5sum, dd įrankis perduoda duomenis tik iš disko į diską, bet jei naudojate dd įrankį su md5sum, tada galite įsitikinti, kad duomenų perdavimas nebus sugadintas. Šioje pamokoje bus aptarti keli skirtingi „Windows“ naudojimo atvejai dd komandą, ypač Kriminalistika.

Darbo pradžia naudojant komandą „dd“

Norėdami pradėti su dd komandą, pirmiausia atidarykite terminalą paspausdami „Ctrl“ + „Alt“ + T. Tada paleiskite šią komandą:

[apsaugotas el. paštas]: ~ $ man dd

Paleidus aukščiau nurodytą komandą, bus rodomas vartotojo vadovas dd komandą. The dd komanda naudojama su kai kuriais parametrais. Norėdami išvardyti visus galimus parametrus, terminale vykdykite šią komandą:

[apsaugotas el. paštas]: ~ $ dd --pagalba

Pirmiau nurodyta komanda suteiks jums visas galimas parinktis, kurias galima naudoti su dd komandą. Šiame straipsnyje nebus aptariami visi galimi variantai, o tik tie, kurie susiję su pateikta tema. Žemiau pateikiami keli svarbiausi parametrai dd komanda:

• bs = B: Šis parametras nustato B baitų, kuriuos galima bet kada perskaityti ar užrašyti kuriant disko atvaizdo failą, skaičių. Numatytoji bs reikšmė yra 512 baitų.
• cbs = B: Šis parametras nustato B baitų, kuriuos galima konvertuoti vienu metu bet kurio proceso metu, skaičių.
• skaičius = N: Šis parametras nustato kopijuojamų duomenų įvesties blokų skaičių N.
• jei = DEST: Šis parametras paima failą iš paskirties DEST.
• iš = DEST: Šis parametras išsaugo failą paskirties DEST.

Svarbios sąlygos, kurias reikia peržiūrėti

Šioje pamokoje aptardami dd komandą kriminalistikos kontekste, mes naudosime keletą techninių terminų, kuriuos turite žinoti prieš pradėdami mokymą. Toliau pateikiami terminai, kurie bus pakartotinai naudojami visoje mokymo programoje:

• MD5 kontrolinė suma: MD5 kontrolinė suma yra 32 simbolių eilutė, sukurta maišymo algoritmo, kuris yra unikalus skirtingiems duomenims. Negalima dviejų skirtingų failų turėti tą pačią MD5 kontrolinę sumą.
• md5sum: „Md5sum“ yra komandinės eilutės įrankis, naudojamas įgyvendinti 128 bitų maišos algoritmą, taip pat naudojamas unikalių duomenų MD5 kontrolinei sumai generuoti. Šio straipsnio pamokoje naudosime md5sum, kad sukurtume MD5 duomenų kontrolines sumas.
• Disko vaizdo failas: Disko atvaizdo failas yra tiksli disko, iš kurio jis sukurtas, kopija. Galime sakyti, kad tai yra disko momentinė nuotrauka. Prireikus galime atkurti disko duomenis iš šio disko atvaizdo failo. Šis failas yra lygiai tokio paties dydžio kaip pats diskas. Mes naudosime dd komanda sukurti disko atvaizdo failą iš disko.

Pamokos apžvalga

Šioje pamokoje sukursime atsarginę sistemą ir patikrinsime, ar duomenų atsarginė kopija sukurta tiksliai dd ir md5sum komandos. Pirmiausia nurodysime diską, kurio atsarginę kopiją norime sukurti. Toliau mes naudosime dd komandinės eilutės įrankis sukurti disko atvaizdo failą. Tada sukursime disko ir disko atvaizdo failo MD5 kontrolines sumas, kad patikrintume, ar disko atvaizdo failas yra tikslus. Po to atkursime diską iš disko atvaizdo failo. Tada sugeneruosime atkurto disko MD5 kontrolinę sumą ir patikrinsime ją lygindami su pradinio disko MD5 kontroline suma. Galiausiai pakeisime disko atvaizdo failą ir sukursime MD5 kontrolinę sumą iš šio pakeisto disko atvaizdo failo, kad patikrintume tikslumą. Pakeisto disko atvaizdo failo MD5 kontrolinė suma neturėtų sutapti su pradinio failo.

Dd komanda kriminalistiniame kontekste

The dd Pagal numatytuosius nustatymus komanda ateina su daugybe Linux paskirstymų (Fedora, Ubuntu ir kt.).). Be paprastų duomenų atlikimo, dd komanda taip pat gali būti naudojama kai kurioms pagrindinėms teismo ekspertizės užduotims atlikti. Šioje pamokoje mes naudosime dd komandą, kartu su md5sum, patikrinti, ar tiksliai sukurtas disko vaizdas iš originalaus disko.

Veiksmai, kurių reikia laikytis

Toliau pateikiami veiksmai, kurių reikia norint patikrinti garso disko vaizdą naudojant md5sum ir dd komandos.

• Sukurkite disko kontrolinę sumą MD5 naudodami md5sum komandą
• Sukurkite disko atvaizdo failą naudodami dd komandą
• Sukurkite vaizdo failo kontrolinę sumą MD5 naudodami md5sum komandą
• Palyginkite disko vaizdo failo MD5 kontrolinę sumą su disko MD5 kontroline suma
• Atkurkite diską iš disko atvaizdo failo
• Sukurkite atkurto disko kontrolinę sumą MD5
• Patikrinkite MD5 kontrolinę sumą pagal pakeistą vaizdo failą
• Palyginkite visas MD5 kontrolines sumas

Dabar mes išsamiai aptarsime visus veiksmus, norėdami geriau parodyti, kaip viskas veikia su šiomis komandomis.

Disko MD5 kontrolinės sumos sukūrimas

Norėdami pradėti, pirmiausia prisijunkite kaip root vartotojas. Norėdami prisijungti kaip root vartotojas, vykdykite šią komandą terminale. Tada būsite paraginti įvesti slaptažodį. Įveskite savo root slaptažodį ir pradėkite kaip root vartotojas.

[apsaugotas el. paštas]: ~ $ sudo su

Prieš kurdami MD5 kontrolinę sumą, pirmiausia pasirinkite norimą naudoti diską. Norėdami išvardyti visus galimus įrenginio diskus, terminale vykdykite šią komandą:

[el. pašto saugoma]: ~ $ df -h

Šiai pamokai naudosiu / dev / sdb1 diską, kuris yra mano įrenginyje. Iš savo įrenginio galite pasirinkti tinkamą diską, kurį norite naudoti.

PASTABA: Protingai pasirinkite šį diską ir naudokite dd komandinės eilutės įrankis saugioje aplinkoje, nes netinkamai naudojant, jis gali turėti pražūtingą poveikį jūsų diskui.

Sukurkite originalų MD5 failą / žiniasklaida failą ir terminale paleiskite komandą md5sum, kad sukurtumėte disko MD5 kontrolinę sumą.

[apsaugotas el. paštu]: ~ $ touch / media / originalMD5
[apsaugotas el. paštas]: ~ $ md5sum / dev / sdb1> / media / originalMD5

Kai vykdote pirmiau nurodytas komandas, jis sukuria failą paskirties vietoje, nurodytoje parametru, ir faile išsaugo disko kontrolinę sumą MD5 (šiuo atveju / / dev / sdb1).

PASTABA: Komandos „md5sum“ vykdymas gali užtrukti šiek tiek laiko, atsižvelgiant į disko dydį ir jūsų sistemos procesoriaus greitį.

Disko MD5 kontrolinę sumą galite perskaityti vykdydami šią komandą terminale, kuri suteiks kontrolinę sumą ir disko pavadinimą:

[apsaugotas el. pašto adresas]: ~ $ cat / media / originalMD5

Disko atvaizdo failo kūrimas

Dabar mes naudosime dd komanda sukurti disko atvaizdo failą. Norėdami sukurti vaizdo failą, terminale vykdykite šią komandą.

[apsaugotas el. paštas]: ~ $ dd if = / dev / sdb1 iš = / media / diskImage.img bs = 1k

Tai sukurs failą nurodytoje vietoje. The dd komanda neveikia viena. Šioje komandoje taip pat turite nurodyti keletą parinkčių. Komplekte pateikiamos parinktys dd komanda turi tokią reikšmę:

• Jei: Kelias failo ar disko, kurį norite kopijuoti, atvaizdui įvesti.
• apie: Kelias iš failo, gauto iš jei
• bs: Bloko dydis; šiame pavyzdyje mes naudojame bloko dydį 1k arba 1024B.

PASTABA: Nebandykite skaityti ar atidaryti disko atvaizdo failo, nes jis yra tokio pat dydžio, kaip ir jūsų disko, ir jums gali tekti naudotis ranka. Be to, nepamirškite protingai nurodyti šio failo vietą dėl didesnio dydžio.

Vaizdo failo MD5 kontrolinės sumos sukūrimas

Naudodami tą pačią procedūrą, atliktą pirmajame etape, sukursime disko atvaizdo failo, sukurto ankstesniame etape, kontrolinę sumą MD5. Paleiskite šią komandą terminale, kad sukurtumėte disko atvaizdo failo MD5 kontrolinę sumą:

[apsaugotas el. paštas]: ~ $ md5sum / media / diskImage.img> / media / imageMD5

Tai sukurs disko atvaizdo failo kontrolinę sumą MD5. Dabar turime šiuos failus:

• MD5 disko kontrolinė suma
• Disko disko atvaizdo failas
• MD5 vaizdo failo kontrolinė suma

Lyginant MD5 kontrolines sumas

Iki šiol sukūrėme disko ir disko atvaizdo failo kontrolinę sumą MD5. Norėdami patikrinti, ar sukurtas tikslus disko vaizdas, palyginsime paties disko ir disko atvaizdo failo kontrolines sumas. Į terminalą įveskite šias komandas, kad išspausdintumėte abiejų failų tekstą ir palygintumėte abu failus:

[apsaugotas el. paštu]: ~ $ cat / media / originalMD5
[apsaugotas el. pašto adresas]: ~ $ cat / media / imageMD5

Šios komandos parodys abiejų failų turinį. Abiejų failų MD5 kontrolinė suma turi būti ta pati. Jei MD5 failų kontrolinės sumos nėra vienodos, kuriant disko atvaizdo failą turi kilti problema.

Disko atkūrimas iš vaizdo failo

Tada atkursime pradinį diską iš disko vaizdo failo naudodami dd komandą. Terminale įveskite šią komandą, kad atkurtumėte pradinį diską iš disko atvaizdo failo:

[apsaugotas el. paštu]: ~ $ dd if = / media / diskImage.img = = dev / sdb1 bs = 1k

Pirmiau nurodyta komanda yra panaši į tą, kuri naudojama kuriant disko atvaizdo failą. Tačiau šiuo atveju įvestis ir išvestis yra perjungiama, pakeičiant duomenų srautą, kad atkurtumėte diską iš disko atvaizdo failo. Įvedę pirmiau nurodytą komandą, mes dabar atkūrėme savo diską iš disko atvaizdo failo.

Atkurto disko MD5 kontrolinės sumos sukūrimas

Tada sukursime iš disko atvaizdo failo atkurto disko MD5 kontrolinę sumą. Norėdami sukurti atkurto disko MD5 kontrolinę sumą, įveskite šią komandą:

[apsaugotas el. paštas]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Naudodamas pirmiau pateiktą komandą, sukūrėte atkurto disko MD5 kontrolinę sumą ir parodėte ją terminale. Galime palyginti atkurto disko MD5 kontrolinę sumą su pradinio disko MD5 kontroline suma. Jei abu yra vienodi, tai reiškia, kad mes tiksliai atkūrėme savo diską iš disko atvaizdo.

MD5 kontrolinės sumos testavimas prieš pakeistą vaizdo failą

Iki šiol lyginome tiksliai sukurtų diskų ir disko atvaizdų failų kontrolines sumas MD5. Tada mes naudosime šią teismo ekspertizės analizę, kad patikrintume pakeisto disko atvaizdo failo tikslumą. Pakeiskite disko atvaizdo failą, terminale vykdydami šią komandą.

[apsaugotas el. pašto adresas]: ~ $ echo „abcdef“ >> / media / diskImage.img

Dabar pakeitėme disko atvaizdo failą ir jis nebėra toks pat kaip anksčiau. Atminkite, kad vietoj „>“ naudojau ženklą „>>“."Tai reiškia, kad aš pridėjau disko atvaizdo failą, užuot jį perrašęs. Tada mes sukursime kitą pakeisto disko vaizdo failo MD5 kontrolinę sumą naudodami komandą md5sum terminale.

[apsaugotas el. paštas]: ~ $ md5sum / media / diskImage.img> / media / pakeistasMD5

Įvedus šią komandą bus sukurta pakeisto disko atvaizdo failo MD5 kontrolinė suma. Dabar turime šiuos failus:

• Originali MD5 kontrolinė suma
• Disko vaizdo MD5 kontrolinė suma
• Atkurta disko MD5 kontrolinė suma
• Pakeista disko atvaizdo MD5 kontrolinė suma

Lyginant visas MD5 kontrolines sumas

Diskusiją baigsime palyginę visas MD5 kontrolines sumas, sukurtas per šią pamoką. Naudoti katė komanda perskaityti visus MD5 kontrolinės sumos failus, kad galėtumėte juos palyginti:

[apsaugotas el. paštu]: ~ $ cat / media / * MD5

Minėta komanda parodys visų MD5 kontrolinės sumos failų turinį. Iš aukščiau esančio paveikslėlio matome, kad visos MD5 kontrolinės sumos yra lygios, išskyrus viršutinę, kuri buvo sukurta pakeitus disko atvaizdo failą. Taigi tokiu būdu mes galime patikrinti failų tikslumą naudodami dd ir md5sum komandos.

Išvada

Duomenų atsarginės kopijos sukūrimas yra svarbi strategija norint ją atkurti nelaimės atveju, tačiau atsarginė kopija nenaudinga, jei jūsų duomenys sugadinami perkeliant duomenis. Norėdami įsitikinti, kad duomenų perdavimas yra tikslus, galite naudoti kai kuriuos įrankius, kad atliktumėte veiksmus su duomenimis, kad patvirtintumėte, ar kopijavimo metu duomenys sugadinti.

The dd komanda yra įmontuota komandinės eilutės priemonė, naudojama kuriant diskuose saugomų duomenų vaizdo failus. Taip pat galite naudoti md5sum komanda sukurti naujai sukurto vaizdo MD5 kontrolinę sumą, kuri patvirtina nukopijuotų duomenų tikslumą, atlikti teismo ekspertizę perduotiems duomenims kartu su dd komandą. Šioje pamokoje buvo aptarta, kaip naudoti dd ir md5sum įrankiai kriminalistikos kontekste, siekiant užtikrinti nukopijuotų disko duomenų tikslumą.