So verwenden Sie den dd-Befehl in der Forensik

Wenn Sie die Befehlszeile in Ubuntu verwenden, müssen Sie möglicherweise eine Datei von einem Ort an einen anderen kopieren. Vielleicht möchten Sie auch sicherstellen, dass die Daten korrekt kopiert werden. Angenommen, Sie möchten eine Sicherung Ihrer Festplatte und möchten sicherstellen, dass sie korrekt gesichert wird. Um diese Aktion auszuführen, können Sie die dd (Datenmüll) Befehlszeilen-Dienstprogramm, das in vielen Linux-Distributionen wie Ubuntu und Fedora verfügbar ist. Das dd Tool ist ein integriertes Befehlszeilen-Dienstprogramm, und Sie müssen es nicht installieren, bevor Sie dieses Tool verwenden. Der Hauptzweck dieses Befehls besteht darin, Daten von einem Laufwerk auf ein anderes zu übertragen und gleichzeitig sicherzustellen, dass die Daten selbst nicht geändert werden. Die Fähigkeit dieses Tools, Daten genau von einem Gerät auf ein anderes zu übertragen, macht es zu einem beliebten Tool zum Sichern Ihrer Daten. Ohne md5sum ist die dd Tool überträgt nur Daten von Laufwerk zu Laufwerk, aber wenn Sie das dd Tool mit md5sum, dann können Sie sicherstellen, dass die Datenübertragung nicht beschädigt wird. In diesem Tutorial werden einige verschiedene Anwendungsfälle des dd Befehl, insbesondere im Zusammenhang mit Forensik.

Erste Schritte mit dem dd-Befehl

Um mit dem zu beginnen dd Öffnen Sie zuerst das Terminal, indem Sie drücken Strg+Alt+T. Führen Sie dann den folgenden Befehl aus:

[email protected]:~$ Mann dd

Wenn Sie den obigen Befehl ausführen, wird das Benutzerhandbuch des dd Befehl. Das dd Befehl wird mit einigen Parametern verwendet. Um alle verfügbaren Parameter aufzulisten, führen Sie den folgenden Befehl im Terminal aus:

[email protected]:~$ dd --help

Der obige Befehl gibt Ihnen alle verfügbaren Optionen, die mit dem verwendet werden können dd Befehl. In diesem Artikel werden nicht alle verfügbaren Optionen besprochen, sondern nur diejenigen, die sich auf das jeweilige Thema beziehen. Nachfolgend sind einige der wichtigsten Parameter der dd Befehl:

• bs=B: Dieser Parameter legt die Anzahl der Bytes B fest, die jederzeit beim Erstellen einer Disk-Image-Datei gelesen oder geschrieben werden können. Der Standardwert von bs beträgt 512 Byte.
• cbs=B: Dieser Parameter legt die Anzahl der Bytes B fest, die während eines beliebigen Prozesses gleichzeitig konvertiert werden können.
• count=N: Dieser Parameter legt die Anzahl N der zu kopierenden Eingangsdatenblöcke fest.
• if=DEST: Dieser Parameter nimmt die Datei vom Ziel DEST.
• von=DEST: Dieser Parameter speichert die Datei am Ziel DEST.

Wichtige Bedingungen zur Überprüfung

In diesem Tutorial besprechen Sie die dd Befehl im forensischen Kontext verwenden wir einige Fachbegriffe, mit denen Sie vertraut sein müssen, bevor Sie das Tutorial durchgehen. Die folgenden Begriffe werden im gesamten Tutorial wiederholt verwendet:

• MD5-Prüfsumme: Die MD5-Prüfsumme ist die 32-stellige Zeichenfolge, die von einem Hashing-Algorithmus generiert wird, der für verschiedene Daten eindeutig ist. Keine zwei verschiedenen Dateien können dieselbe MD5-Prüfsumme haben.
• md5sum: md5sum ist ein Befehlszeilen-Dienstprogramm, das verwendet wird, um einen 128-Bit-Hashing-Algorithmus zu implementieren und wird auch verwendet, um eine MD5-Prüfsumme eindeutiger Daten zu generieren. Wir werden md5sum im Tutorial in diesem Artikel verwenden, um MD5-Prüfsummen von Daten zu generieren.
• Disk-Image-Datei: Die Disk-Image-Datei ist die genaue Kopie der Disk, von der sie erstellt wurde. Wir können sagen, dass es sich um eine Momentaufnahme der Festplatte zu einem bestimmten Zeitpunkt handelt. Wir können unsere Festplattendaten bei Bedarf aus dieser Disk-Image-Datei wiederherstellen. Diese Datei hat genau die gleiche Größe wie die Festplatte selbst. Wir werden die verwenden dd Befehl zum Erstellen einer Disk-Image-Datei von der Festplatte.

Tutorial-Übersicht

In diesem Tutorial erstellen wir ein Backup-System und überprüfen, ob die Daten korrekt mit dem dd und md5sum Befehle. Zuerst geben wir die Festplatte an, von der wir ein Backup erstellen möchten. Als nächstes verwenden wir die dd Befehlszeilen-Dienstprogramm zum Erstellen einer Disk-Image-Datei der Festplatte. Dann erstellen wir MD5-Prüfsummen sowohl der Disk- als auch der Disk-Image-Datei, um zu überprüfen, ob die Disk-Image-Datei korrekt ist. Danach werden wir die Festplatte aus der Disk-Image-Datei wiederherstellen. Wir erstellen dann eine MD5-Prüfsumme der wiederhergestellten Festplatte und überprüfen diese, indem wir sie mit der MD5-Prüfsumme der ursprünglichen Festplatte vergleichen comparing. Schließlich ändern wir die Disk-Image-Datei und erstellen die MD5-Prüfsumme aus dieser geänderten Disk-Image-Datei, um die Genauigkeit zu testen. Die MD5-Prüfsumme der geänderten Disk-Image-Datei sollte nicht mit der der Originaldatei übereinstimmen.

Der dd-Befehl in einem forensischen Kontext

Das dd Befehl kommt standardmäßig bei vielen Linux-Distributionen (Fedora, Ubuntu, etc.).). Neben der Durchführung einfacher Aktionen mit Daten, dd Der Befehl kann auch verwendet werden, um einige grundlegende forensische Aufgaben auszuführen. In diesem Tutorial verwenden wir die dd Befehl, zusammen mit md5sum, um die genaue Erstellung von Disk-Images von der Originaldisk zu überprüfen.

Schritte zum folgen

Im Folgenden sind die Schritte aufgeführt, die erforderlich sind, um ein Sound-Disk-Image mit dem zu überprüfen md5sum und dd Befehle.

• Erstellen Sie die MD5-Prüfsumme des Datenträgers mit dem md5sum Befehl
• Erstellen Sie eine Image-Datei der Festplatte mit dem dd Befehl
• Erstellen Sie die MD5-Prüfsumme der Image-Datei mit dem md5sum Befehl
• Vergleichen Sie die MD5-Prüfsumme der Disk-Image-Datei mit der MD5-Prüfsumme der Festplatte
• Stellen Sie die Festplatte aus der Disk-Image-Datei wieder her
• MD5-Prüfsumme des wiederhergestellten Datenträgers erstellen
• Testen Sie die MD5-Prüfsumme mit der geänderten Image-Datei
• Vergleichen Sie alle MD5-Prüfsummen

Jetzt werden wir alle Schritte im Detail besprechen, um besser zu zeigen, wie die Dinge mit diesen Befehlen funktionieren.

Erstellen einer MD5-Prüfsumme der Festplatte

Melden Sie sich zunächst als Root-Benutzer an. Um sich als Root-Benutzer anzumelden, führen Sie den folgenden Befehl im Terminal aus. Sie werden dann nach dem Passwort gefragt. Geben Sie Ihr Root-Passwort ein und beginnen Sie als Root-Benutzer.

[email protected]:~$ sudo su

Bevor Sie die MD5-Prüfsumme erstellen, wählen Sie zuerst die Festplatte aus, die Sie verwenden möchten. Um alle verfügbaren Festplatten auf Ihrem Gerät aufzulisten, führen Sie den folgenden Befehl im Terminal aus:

[email protected]:~$ df -h

Für dieses Tutorial verwende ich die /dev/sdb1 Datenträger auf meinem Gerät verfügbar. Sie können eine geeignete Festplatte von Ihrem Gerät zur Verwendung auswählen.

HINWEIS: Wählen Sie diese Festplatte mit Bedacht und verwenden Sie die dd Befehlszeilen-Dienstprogramm in einer sicheren Umgebung, da es bei unsachgemäßer Verwendung verheerende Auswirkungen auf Ihre Festplatte haben kann.

Erstellen Sie eine Original-MD5-Datei im /Medien Datei und führen Sie den md5sum-Befehl im Terminal aus, um eine MD5-Prüfsumme der Festplatte zu erstellen.

[email protected]:~$ touch  /media/originalMD5
[email protected]:~$ md5sum /dev/sdb1  > /media/originalMD5

Wenn Sie die obigen Befehle ausführen, erstellt es eine Datei in dem durch den Parameter angegebenen Ziel und speichert die MD5-Prüfsumme der Festplatte (in diesem Fall /dev/sdb1) in der Datei.

HINWEIS: Die Ausführung des Befehls md5sum kann einige Zeit in Anspruch nehmen, abhängig von der Größe der Festplatte und der Geschwindigkeit des Prozessors Ihres Systems.

Sie können die MD5-Prüfsumme der Festplatte lesen, indem Sie den folgenden Befehl im Terminal ausführen, der die Prüfsumme sowie den Festplattennamen angibt:

[email protected]:~$ cat /media/originalMD5

Erstellen einer Image-Datei der Festplatte

Jetzt verwenden wir die dd Befehl zum Erstellen einer Image-Datei der Festplatte. Führen Sie den folgenden Befehl im Terminal aus, um eine Image-Datei zu erstellen.

[email protected]:~$ dd if=/dev/sdb1 of=/media/diskImage.img bs=1k

Dadurch wird eine Datei am angegebenen Speicherort erstellt. Das dd Befehl funktioniert nicht alleine. Sie müssen auch einige Optionen in diesem Befehl angeben. Die im Lieferumfang enthaltenen Optionen dd Befehl hat folgende Bedeutung:

• Wenn: Der Pfad zum Eingeben des Bildes der zu kopierenden Datei oder des Laufwerks.
• von: Der Pfad zur Ausgabe der Bilddatei, die von der wenn
• bs: Die Blockgröße; In diesem Beispiel verwenden wir eine Blockgröße von 1k oder 1024B.

HINWEIS: Versuchen Sie nicht, die Disk-Image-Datei zu lesen oder zu öffnen, da sie die gleiche Größe wie die Ihrer Festplatte hat und Sie möglicherweise ein handliches System erhalten. Achten Sie auch darauf, den Speicherort dieser Datei aufgrund ihrer größeren Größe mit Bedacht anzugeben.

Erstellen einer MD5-Prüfsumme der Image-Datei

Wir erstellen eine MD5-Prüfsumme der im vorherigen Schritt erstellten Disk-Image-Datei mit dem gleichen Verfahren wie im ersten Schritt. Führen Sie den folgenden Befehl im Terminal aus, um eine MD5-Prüfsumme der Disk-Image-Datei zu erstellen:

[email protected]:~$ md5sum /media/diskImage.img > /media/imageMD5

Dadurch wird eine MD5-Prüfsumme der Disk-Image-Datei erstellt. Nun stehen uns folgende Dateien zur Verfügung:

• MD5-Prüfsumme der Festplatte
• Disk-Image-Datei der Disk
• MD5-Prüfsumme der Image-Datei

Vergleich von MD5-Prüfsummen

Bisher haben wir eine MD5-Prüfsumme der Disk und der Disk-Image-Datei erstellt. Um zu überprüfen, ob ein genaues Disk-Image erstellt wurde, vergleichen wir als Nächstes die Prüfsummen der Disk selbst und der Disk-Image-Datei. Geben Sie die folgenden Befehle in Ihr Terminal ein, um den Text beider Dateien zu drucken, um die beiden Dateien zu vergleichen:

[email protected]:~$ cat /media/originalMD5
[email protected]:~$ cat /media/imageMD5

Diese Befehle zeigen den Inhalt beider Dateien an. Die MD5-Prüfsumme beider Dateien muss gleich sein. Wenn die MD5-Prüfsummen der Dateien nicht identisch sind, muss beim Erstellen der Disk-Image-Datei ein Problem aufgetreten sein.

Wiederherstellen der Festplatte aus der Image-Datei

Als nächstes werden wir die Originaldisk aus der Disk-Image-Datei mit dem . wiederherstellen dd Befehl. Geben Sie den folgenden Befehl in das Terminal ein, um die Originalfestplatte aus der Disk-Image-Datei wiederherzustellen:

[email protected]:~$ dd if=/media/diskImage.img von=/dev/sdb1 bs=1k

Der obige Befehl ähnelt dem, der verwendet wird, um eine Disk-Image-Datei der Festplatte zu erstellen. In diesem Fall werden jedoch Ein- und Ausgang vertauscht, wodurch der Datenfluss umgekehrt wird, um die Festplatte aus der Disk-Image-Datei wiederherzustellen. Nach Eingabe des obigen Befehls haben wir nun unsere Festplatte aus der Disk-Image-Datei wiederhergestellt.

Erstellen einer MD5-Prüfsumme des wiederhergestellten Datenträgers

Als nächstes erstellen wir eine MD5-Prüfsumme der aus der Disk-Image-Datei wiederhergestellten Festplatte disk. Geben Sie den folgenden Befehl ein, um eine MD5-Prüfsumme des wiederhergestellten Datenträgers zu erstellen:

[email protected]:~$ md5sum /dev/sdb1 > /media/RestoredMD5

Mit dem obigen Befehl eine MD5-Prüfsumme des wiederhergestellten Datenträgers erstellt und im Terminal angezeigt. Wir können die MD5-Prüfsumme des wiederhergestellten Datenträgers mit der MD5-Prüfsumme des Originaldatenträgers vergleichen. Wenn beide gleich sind, bedeutet dies, dass wir unsere Festplatte aus dem Festplatten-Image korrekt wiederhergestellt haben.

Testen der MD5-Prüfsumme mit der geänderten Image-Datei

Bisher haben wir die MD5-Prüfsummen von genau erstellten Festplatten und Disk-Image-Dateien verglichen compared. Als Nächstes verwenden wir diese forensische Analyse, um die Genauigkeit einer geänderten Disk-Image-Datei zu überprüfen. Ändern Sie die Disk-Image-Datei, indem Sie den folgenden Befehl im Terminal ausführen.

[email protected]:~$ echo „abcdef“ >> /media/diskImage.img

Jetzt haben wir unsere Disk-Image-Datei geändert und sie ist nicht mehr dieselbe wie zuvor. Beachten Sie, dass ich das Zeichen „>>“ anstelle von „> . verwendet habe.” Das bedeutet, dass ich die Disk-Image-Datei angehängt habe, anstatt sie neu zu schreiben. Als nächstes erstellen wir eine weitere MD5-Prüfsumme der geänderten Disk-Image-Datei mit dem Befehl md5sum im Terminal.

[email protected]:~$ md5sum /media/diskImage.img > /media/changedMD5

Die Eingabe dieses Befehls erstellt eine MD5-Prüfsumme der geänderten Disk-Image-Datei create. Jetzt haben wir folgende Dateien:

• Original MD5 Prüfsumme
• Disk Image MD5 Prüfsumme
• MD5-Prüfsumme der wiederhergestellten Festplatte
• Geänderte Disk-Image MD5-Prüfsumme

Vergleich aller MD5-Prüfsummen

Wir schließen unsere Diskussion ab, indem wir alle MD5-Prüfsummen vergleichen, die in diesem Tutorial erstellt wurden. Verwenden Sie die Katze Befehl zum Lesen aller MD5-Prüfsummendateien, um sie miteinander zu vergleichen:

[email protected]:~$ cat /media/*MD5

Der obige Befehl zeigt den Inhalt aller MD5-Prüfsummendateien an. Aus dem obigen Bild können wir sehen, dass alle MD5-Prüfsummen gleich sind, mit Ausnahme der oberen, die mit der geänderten Disk-Image-Datei erstellt wurde. Auf diese Weise können wir die Richtigkeit der Dateien anhand der dd und md5sum Befehle.

Fazit

Das Erstellen einer Sicherungskopie Ihrer Daten ist eine wichtige Strategie, um sie im Notfall wiederherzustellen, aber die Sicherung ist nutzlos, wenn Ihre Daten während der Übertragung beschädigt werden. Um sicherzustellen, dass die Datenübertragung korrekt ist, können Sie mit einigen Tools Aktionen an den Daten ausführen, um zu authentifizieren, ob die Daten durch den Kopiervorgang beschädigt wurden corrupt.

Das dd command ist ein integriertes Befehlszeilen-Dienstprogramm, das zum Erstellen von Bilddateien der auf Datenträgern gespeicherten Daten verwendet wird. Sie können auch die md5sum Befehl zum Erstellen einer MD5-Prüfsumme des neu erstellten Images, die die Genauigkeit der kopierten Daten authentifiziert, um die übertragenen Daten zusammen mit dem dd Befehl. In diesem Tutorial wurde die Verwendung der dd und md5sum Tools in einem forensischen Kontext, um die Genauigkeit der kopierten Festplattendaten sicherzustellen.