Erste Schritte mit dem dd-Befehl
Um mit dem zu beginnen dd Öffnen Sie zuerst das Terminal, indem Sie drücken Strg+Alt+T. Führen Sie dann den folgenden Befehl aus:
[email protected]:~$ Mann ddWenn Sie den obigen Befehl ausführen, wird das Benutzerhandbuch des dd Befehl. Das dd Befehl wird mit einigen Parametern verwendet. Um alle verfügbaren Parameter aufzulisten, führen Sie den folgenden Befehl im Terminal aus:
[email protected]:~$ dd --helpDer obige Befehl gibt Ihnen alle verfügbaren Optionen, die mit dem verwendet werden können dd Befehl. In diesem Artikel werden nicht alle verfügbaren Optionen besprochen, sondern nur diejenigen, die sich auf das jeweilige Thema beziehen. Nachfolgend sind einige der wichtigsten Parameter der dd Befehl:
- bs=B: Dieser Parameter legt die Anzahl der Bytes B fest, die jederzeit beim Erstellen einer Disk-Image-Datei gelesen oder geschrieben werden können. Der Standardwert von bs beträgt 512 Byte.
- cbs=B: Dieser Parameter legt die Anzahl der Bytes B fest, die während eines beliebigen Prozesses gleichzeitig konvertiert werden können.
- count=N: Dieser Parameter legt die Anzahl N der zu kopierenden Eingangsdatenblöcke fest.
- if=DEST: Dieser Parameter nimmt die Datei vom Ziel DEST.
- von=DEST: Dieser Parameter speichert die Datei am Ziel DEST.
Wichtige Bedingungen zur Überprüfung
In diesem Tutorial besprechen Sie die dd Befehl im forensischen Kontext verwenden wir einige Fachbegriffe, mit denen Sie vertraut sein müssen, bevor Sie das Tutorial durchgehen. Die folgenden Begriffe werden im gesamten Tutorial wiederholt verwendet:
- MD5-Prüfsumme: Die MD5-Prüfsumme ist die 32-stellige Zeichenfolge, die von einem Hashing-Algorithmus generiert wird, der für verschiedene Daten eindeutig ist. Keine zwei verschiedenen Dateien können dieselbe MD5-Prüfsumme haben.
- md5sum: md5sum ist ein Befehlszeilen-Dienstprogramm, das verwendet wird, um einen 128-Bit-Hashing-Algorithmus zu implementieren und wird auch verwendet, um eine MD5-Prüfsumme eindeutiger Daten zu generieren. Wir werden md5sum im Tutorial in diesem Artikel verwenden, um MD5-Prüfsummen von Daten zu generieren.
- Disk-Image-Datei: Die Disk-Image-Datei ist die genaue Kopie der Disk, von der sie erstellt wurde. Wir können sagen, dass es sich um eine Momentaufnahme der Festplatte zu einem bestimmten Zeitpunkt handelt. Wir können unsere Festplattendaten bei Bedarf aus dieser Disk-Image-Datei wiederherstellen. Diese Datei hat genau die gleiche Größe wie die Festplatte selbst. Wir werden die verwenden dd Befehl zum Erstellen einer Disk-Image-Datei von der Festplatte.
Tutorial-Übersicht
In diesem Tutorial erstellen wir ein Backup-System und überprüfen, ob die Daten korrekt mit dem dd und md5sum Befehle. Zuerst geben wir die Festplatte an, von der wir ein Backup erstellen möchten. Als nächstes verwenden wir die dd Befehlszeilen-Dienstprogramm zum Erstellen einer Disk-Image-Datei der Festplatte. Dann erstellen wir MD5-Prüfsummen sowohl der Disk- als auch der Disk-Image-Datei, um zu überprüfen, ob die Disk-Image-Datei korrekt ist. Danach werden wir die Festplatte aus der Disk-Image-Datei wiederherstellen. Wir erstellen dann eine MD5-Prüfsumme der wiederhergestellten Festplatte und überprüfen diese, indem wir sie mit der MD5-Prüfsumme der ursprünglichen Festplatte vergleichen comparing. Schließlich ändern wir die Disk-Image-Datei und erstellen die MD5-Prüfsumme aus dieser geänderten Disk-Image-Datei, um die Genauigkeit zu testen. Die MD5-Prüfsumme der geänderten Disk-Image-Datei sollte nicht mit der der Originaldatei übereinstimmen.
Der dd-Befehl in einem forensischen Kontext
Das dd Befehl kommt standardmäßig bei vielen Linux-Distributionen (Fedora, Ubuntu, etc.).). Neben der Durchführung einfacher Aktionen mit Daten, dd Der Befehl kann auch verwendet werden, um einige grundlegende forensische Aufgaben auszuführen. In diesem Tutorial verwenden wir die dd Befehl, zusammen mit md5sum, um die genaue Erstellung von Disk-Images von der Originaldisk zu überprüfen.
Schritte zum folgen
Im Folgenden sind die Schritte aufgeführt, die erforderlich sind, um ein Sound-Disk-Image mit dem zu überprüfen md5sum und dd Befehle.
- Erstellen Sie die MD5-Prüfsumme des Datenträgers mit dem md5sum Befehl
- Erstellen Sie eine Image-Datei der Festplatte mit dem dd Befehl
- Erstellen Sie die MD5-Prüfsumme der Image-Datei mit dem md5sum Befehl
- Vergleichen Sie die MD5-Prüfsumme der Disk-Image-Datei mit der MD5-Prüfsumme der Festplatte
- Stellen Sie die Festplatte aus der Disk-Image-Datei wieder her
- MD5-Prüfsumme des wiederhergestellten Datenträgers erstellen
- Testen Sie die MD5-Prüfsumme mit der geänderten Image-Datei
- Vergleichen Sie alle MD5-Prüfsummen
Jetzt werden wir alle Schritte im Detail besprechen, um besser zu zeigen, wie die Dinge mit diesen Befehlen funktionieren.
Erstellen einer MD5-Prüfsumme der Festplatte
Melden Sie sich zunächst als Root-Benutzer an. Um sich als Root-Benutzer anzumelden, führen Sie den folgenden Befehl im Terminal aus. Sie werden dann nach dem Passwort gefragt. Geben Sie Ihr Root-Passwort ein und beginnen Sie als Root-Benutzer.
[email protected]:~$ sudo suBevor Sie die MD5-Prüfsumme erstellen, wählen Sie zuerst die Festplatte aus, die Sie verwenden möchten. Um alle verfügbaren Festplatten auf Ihrem Gerät aufzulisten, führen Sie den folgenden Befehl im Terminal aus:
[email protected]:~$ df -h
Für dieses Tutorial verwende ich die /dev/sdb1 Datenträger auf meinem Gerät verfügbar. Sie können eine geeignete Festplatte von Ihrem Gerät zur Verwendung auswählen.
HINWEIS: Wählen Sie diese Festplatte mit Bedacht und verwenden Sie die dd Befehlszeilen-Dienstprogramm in einer sicheren Umgebung, da es bei unsachgemäßer Verwendung verheerende Auswirkungen auf Ihre Festplatte haben kann.
Erstellen Sie eine Original-MD5-Datei im /Medien Datei und führen Sie den md5sum-Befehl im Terminal aus, um eine MD5-Prüfsumme der Festplatte zu erstellen.
[email protected]:~$ touch /media/originalMD5[email protected]:~$ md5sum /dev/sdb1 > /media/originalMD5
Wenn Sie die obigen Befehle ausführen, erstellt es eine Datei in dem durch den Parameter angegebenen Ziel und speichert die MD5-Prüfsumme der Festplatte (in diesem Fall /dev/sdb1) in der Datei.
HINWEIS: Die Ausführung des Befehls md5sum kann einige Zeit in Anspruch nehmen, abhängig von der Größe der Festplatte und der Geschwindigkeit des Prozessors Ihres Systems.
Sie können die MD5-Prüfsumme der Festplatte lesen, indem Sie den folgenden Befehl im Terminal ausführen, der die Prüfsumme sowie den Festplattennamen angibt:
[email protected]:~$ cat /media/originalMD5
Erstellen einer Image-Datei der Festplatte
Jetzt verwenden wir die dd Befehl zum Erstellen einer Image-Datei der Festplatte. Führen Sie den folgenden Befehl im Terminal aus, um eine Image-Datei zu erstellen.
[email protected]:~$ dd if=/dev/sdb1 of=/media/diskImage.img bs=1k
Dadurch wird eine Datei am angegebenen Speicherort erstellt. Das dd Befehl funktioniert nicht alleine. Sie müssen auch einige Optionen in diesem Befehl angeben. Die im Lieferumfang enthaltenen Optionen dd Befehl hat folgende Bedeutung:
- Wenn: Der Pfad zum Eingeben des Bildes der zu kopierenden Datei oder des Laufwerks.
- von: Der Pfad zur Ausgabe der Bilddatei, die von der wenn
- bs: Die Blockgröße; In diesem Beispiel verwenden wir eine Blockgröße von 1k oder 1024B.
HINWEIS: Versuchen Sie nicht, die Disk-Image-Datei zu lesen oder zu öffnen, da sie die gleiche Größe wie die Ihrer Festplatte hat und Sie möglicherweise ein handliches System erhalten. Achten Sie auch darauf, den Speicherort dieser Datei aufgrund ihrer größeren Größe mit Bedacht anzugeben.
Erstellen einer MD5-Prüfsumme der Image-Datei
Wir erstellen eine MD5-Prüfsumme der im vorherigen Schritt erstellten Disk-Image-Datei mit dem gleichen Verfahren wie im ersten Schritt. Führen Sie den folgenden Befehl im Terminal aus, um eine MD5-Prüfsumme der Disk-Image-Datei zu erstellen:
[email protected]:~$ md5sum /media/diskImage.img > /media/imageMD5
Dadurch wird eine MD5-Prüfsumme der Disk-Image-Datei erstellt. Nun stehen uns folgende Dateien zur Verfügung:
- MD5-Prüfsumme der Festplatte
- Disk-Image-Datei der Disk
- MD5-Prüfsumme der Image-Datei
Vergleich von MD5-Prüfsummen
Bisher haben wir eine MD5-Prüfsumme der Disk und der Disk-Image-Datei erstellt. Um zu überprüfen, ob ein genaues Disk-Image erstellt wurde, vergleichen wir als Nächstes die Prüfsummen der Disk selbst und der Disk-Image-Datei. Geben Sie die folgenden Befehle in Ihr Terminal ein, um den Text beider Dateien zu drucken, um die beiden Dateien zu vergleichen:
[email protected]:~$ cat /media/originalMD5[email protected]:~$ cat /media/imageMD5
Diese Befehle zeigen den Inhalt beider Dateien an. Die MD5-Prüfsumme beider Dateien muss gleich sein. Wenn die MD5-Prüfsummen der Dateien nicht identisch sind, muss beim Erstellen der Disk-Image-Datei ein Problem aufgetreten sein.
Wiederherstellen der Festplatte aus der Image-Datei
Als nächstes werden wir die Originaldisk aus der Disk-Image-Datei mit dem . wiederherstellen dd Befehl. Geben Sie den folgenden Befehl in das Terminal ein, um die Originalfestplatte aus der Disk-Image-Datei wiederherzustellen:
[email protected]:~$ dd if=/media/diskImage.img von=/dev/sdb1 bs=1k
Der obige Befehl ähnelt dem, der verwendet wird, um eine Disk-Image-Datei der Festplatte zu erstellen. In diesem Fall werden jedoch Ein- und Ausgang vertauscht, wodurch der Datenfluss umgekehrt wird, um die Festplatte aus der Disk-Image-Datei wiederherzustellen. Nach Eingabe des obigen Befehls haben wir nun unsere Festplatte aus der Disk-Image-Datei wiederhergestellt.
Erstellen einer MD5-Prüfsumme des wiederhergestellten Datenträgers
Als nächstes erstellen wir eine MD5-Prüfsumme der aus der Disk-Image-Datei wiederhergestellten Festplatte disk. Geben Sie den folgenden Befehl ein, um eine MD5-Prüfsumme des wiederhergestellten Datenträgers zu erstellen:
[email protected]:~$ md5sum /dev/sdb1 > /media/RestoredMD5
Mit dem obigen Befehl eine MD5-Prüfsumme des wiederhergestellten Datenträgers erstellt und im Terminal angezeigt. Wir können die MD5-Prüfsumme des wiederhergestellten Datenträgers mit der MD5-Prüfsumme des Originaldatenträgers vergleichen. Wenn beide gleich sind, bedeutet dies, dass wir unsere Festplatte aus dem Festplatten-Image korrekt wiederhergestellt haben.
Testen der MD5-Prüfsumme mit der geänderten Image-Datei
Bisher haben wir die MD5-Prüfsummen von genau erstellten Festplatten und Disk-Image-Dateien verglichen compared. Als Nächstes verwenden wir diese forensische Analyse, um die Genauigkeit einer geänderten Disk-Image-Datei zu überprüfen. Ändern Sie die Disk-Image-Datei, indem Sie den folgenden Befehl im Terminal ausführen.
[email protected]:~$ echo „abcdef“ >> /media/diskImage.img
Jetzt haben wir unsere Disk-Image-Datei geändert und sie ist nicht mehr dieselbe wie zuvor. Beachten Sie, dass ich das Zeichen „>>“ anstelle von „> . verwendet habe.” Das bedeutet, dass ich die Disk-Image-Datei angehängt habe, anstatt sie neu zu schreiben. Als nächstes erstellen wir eine weitere MD5-Prüfsumme der geänderten Disk-Image-Datei mit dem Befehl md5sum im Terminal.
[email protected]:~$ md5sum /media/diskImage.img > /media/changedMD5
Die Eingabe dieses Befehls erstellt eine MD5-Prüfsumme der geänderten Disk-Image-Datei create. Jetzt haben wir folgende Dateien:
- Original MD5 Prüfsumme
- Disk Image MD5 Prüfsumme
- MD5-Prüfsumme der wiederhergestellten Festplatte
- Geänderte Disk-Image MD5-Prüfsumme
Vergleich aller MD5-Prüfsummen
Wir schließen unsere Diskussion ab, indem wir alle MD5-Prüfsummen vergleichen, die in diesem Tutorial erstellt wurden. Verwenden Sie die Katze Befehl zum Lesen aller MD5-Prüfsummendateien, um sie miteinander zu vergleichen:
[email protected]:~$ cat /media/*MD5
Der obige Befehl zeigt den Inhalt aller MD5-Prüfsummendateien an. Aus dem obigen Bild können wir sehen, dass alle MD5-Prüfsummen gleich sind, mit Ausnahme der oberen, die mit der geänderten Disk-Image-Datei erstellt wurde. Auf diese Weise können wir die Richtigkeit der Dateien anhand der dd und md5sum Befehle.
Fazit
Das Erstellen einer Sicherungskopie Ihrer Daten ist eine wichtige Strategie, um sie im Notfall wiederherzustellen, aber die Sicherung ist nutzlos, wenn Ihre Daten während der Übertragung beschädigt werden. Um sicherzustellen, dass die Datenübertragung korrekt ist, können Sie mit einigen Tools Aktionen an den Daten ausführen, um zu authentifizieren, ob die Daten durch den Kopiervorgang beschädigt wurden corrupt.
Das dd command ist ein integriertes Befehlszeilen-Dienstprogramm, das zum Erstellen von Bilddateien der auf Datenträgern gespeicherten Daten verwendet wird. Sie können auch die md5sum Befehl zum Erstellen einer MD5-Prüfsumme des neu erstellten Images, die die Genauigkeit der kopierten Daten authentifiziert, um die übertragenen Daten zusammen mit dem dd Befehl. In diesem Tutorial wurde die Verwendung der dd und md5sum Tools in einem forensischen Kontext, um die Genauigkeit der kopierten Festplattendaten sicherzustellen.