A dd parancs használata a törvényszéki kriminalisztikában

Ha a parancssort használja az Ubuntuban, előfordulhat, hogy át kell másolnia egy fájlt egyik helyről a másikra. Érdemes meggyőződnie arról is, hogy az adatokat pontosan másolták-e. Tegyük fel például, hogy biztonsági másolatot szeretne készíteni a lemezéről, és meg akarja győződni arról, hogy a biztonsági másolatot pontosan készítették-e. A művelet végrehajtásához használhatja a dd (Adattömb) parancssori segédprogram elérhető számos Linux disztribúcióban, mint például az Ubuntu és a Fedora. A dd tool egy beépített parancssori segédprogram, és nem kell telepítenie az eszköz használata előtt. A parancs alapvető célja adatátvitel egyik meghajtóról a másikra, egyúttal ügyelve arra, hogy maga az adat sem változik. Ennek az eszköznek a képessége az adatok pontos áthelyezésére egyik eszközről a másikra népszerű eszköz az adatok biztonsági mentéséhez. Md5sum nélkül a dd eszköz csak adatokat hajt át meghajtóról meghajtóra, de ha a dd eszköz az md5sum használatával, akkor biztosíthatja, hogy az adatátvitel ne sérüljön. Ez az oktatóanyag a dd parancsot, különösen a Kriminalisztika.

Az első lépések a dd paranccsal

Kezdeni a dd parancsot, először nyissa meg a terminált a megnyomásával Ctrl + Alt + T. Ezután futtassa a következő parancsot:

[e-mail védett]: ~ $ man dd

A fenti parancs futtatásával megjelenik a dd parancs. A dd parancsot használunk néhány paraméterrel. Az összes elérhető paraméter felsorolásához futtassa a következő parancsot a terminálon:

[e-mail védett]: ~ $ dd --help

A fenti parancs megadja az összes elérhető opciót, amelyek használhatók a dd parancs. Ez a cikk nem tárgyalja az összes rendelkezésre álló lehetőséget, csak azokat, amelyek az adott témához kapcsolódnak. Az alábbiakban felsoroljuk a dd parancs:

• bs = B: Ez a paraméter beállítja a B bájtok számát, amelyek bármikor olvashatók vagy írhatók lemezképfájl létrehozásakor. A bs alapértelmezett értéke 512 bájt.
• cbs = B: Ez a paraméter beállítja a B bájtok számát, amelyeket bármely folyamat során egyszerre lehet átalakítani.
• szám = N: Ez a paraméter a bemásolandó adatblokkok N számát állítja be.
• ha = DEST: Ez a paraméter elveszi a fájlt a cél DEST-ből.
• = DEST: Ez a paraméter menti a fájlt a cél DEST-be.

Fontos felülvizsgálandó feltételek

Ebben az oktatóanyagban a dd parancsot az igazságügyi szakértői kontextusban, használunk néhány olyan szakkifejezést, amelyeket ismernie kell, mielőtt végigvezetné az oktatóanyagot. Az alábbiakban az oktatóanyagban ismételten használt fogalmak szerepelnek:

• MD5 ellenőrző összeg: Az MD5 ellenőrző összeg a 32 karakterből álló karaktersorozat, amelyet egy kivonatoló algoritmus generál, amely egyedi a különböző adatokhoz. Két különböző fájlnak nem lehet ugyanaz az MD5 ellenőrző összege.
• md5sum: Az md5sum egy parancssori segédprogram, amelyet 128 bites hash algoritmus megvalósítására használnak, és egyedi adatok MD5 ellenőrző összegének létrehozására is szolgál. A cikk oktatóanyagában az md5sum-ot fogjuk használni az MD5 ellenőrző összegek előállításához.
• Lemezképfájl: A lemezképfájl a lemez pontos másolata, amelyből létrejön. Mondhatjuk, hogy ez a lemez pillanatfelvétele. Szükség esetén visszaállíthatjuk a lemez adatait erről a lemezképfájlról. Ez a fájl pontosan ugyanolyan méretű, mint maga a lemez. A dd parancsot lemezképfájl létrehozásához a lemezről.

Oktatóanyag áttekintése

Ebben az oktatóanyagban létrehozunk egy biztonsági mentési rendszert, és ellenőrizzük, hogy az adatok biztonsági mentése pontosan megtörtént-e a dd és md5sum parancsokat. Először meghatározzuk azt a lemezt, amelyről biztonsági másolatot szeretnénk készíteni. Ezután a dd parancssori segédprogram a lemez lemezfájljának létrehozásához. Ezután létrehozunk MD5 ellenőrző összegeket a lemezről és a lemezképfájlról annak ellenőrzésére, hogy a lemezképfájl pontos-e. Ezek után visszaállítjuk a lemezt a lemezképfájlból. Ezután létrehozunk egy MD5 ellenőrző összeget a visszaállított lemezről, és ellenőrizzük azt összehasonlítva az eredeti lemez MD5 ellenőrző összegével. Végül megváltoztatjuk a lemezképfájlt, és ebből a megváltozott lemezképfájlból létrehozzuk az MD5 ellenőrző összeget a pontosság teszteléséhez. A megváltozott lemezképfájl MD5 ellenőrző összege nem lehet ugyanaz, mint az eredeti fájlé.

A dd parancs kriminalisztikai kontextusban

A dd parancs alapértelmezés szerint sok Linux disztribúcióval érkezik (Fedora, Ubuntu stb.). Az adatokon végzett egyszerű műveletek végrehajtása mellett a dd parancs néhány alapvető törvényszéki feladat elvégzésére is használható. Ebben az oktatóanyagban a dd parancsot, azzal együtt md5sum, hogy ellenőrizze a lemezkép pontos létrehozását az eredeti lemezről.

Követendő lépések

Az alábbiakban bemutatjuk azokat a lépéseket, amelyek szükségesek a hanglemezkép ellenőrzéséhez a md5sum és dd parancsokat.

• Hozzon létre MD5 ellenőrző összeget a lemezről a md5sum parancs
• Hozzon létre képfájlt a lemezről a dd parancs
• Hozzon létre MD5 ellenőrző összeget a képfájlról a md5sum parancs
• Hasonlítsa össze a lemezképfájl MD5 ellenőrző összegét a lemez MD5 ellenőrző összegével
• Állítsa vissza a lemezt a lemezképfájlból
• Hozzon létre MD5 ellenőrző összeget a visszaállított lemezről
• Tesztelje az MD5 ellenőrző összegét a megváltozott képfájlhoz képest
• Hasonlítsa össze az összes MD5 ellenőrző összeget

Most részletesen megvitatjuk az összes lépést, hogy jobban megmutassuk, hogyan működnek ezek a parancsok.

MD5 ellenőrző összeg létrehozása a lemezről

A kezdéshez először jelentkezzen be root felhasználóként. Gyökérfelhasználóként történő bejelentkezéshez futtassa a következő parancsot a terminálon. Ezután kérni fogja a jelszót. Írja be root jelszavát, és kezdje el root felhasználóként.

[e-mail védett]: ~ $ sudo su

Az MD5 ellenőrző összeg létrehozása előtt először válassza ki a használni kívánt lemezt. A készüléken elérhető összes lemez felsorolásához futtassa a következő parancsot a terminálon:

[e-mail védett]: ~ $ df -h

Ehhez az oktatóanyaghoz a / dev / sdb1 az eszközemen elérhető lemez. Kiválaszthatja a készülékről a megfelelő lemezt, amelyet használni szeretne.

JEGYZET: Bölcsen válassza ezt a lemezt, és használja a dd parancssori segédprogram biztonságos környezetben, mivel nem megfelelő használat esetén pusztító hatással lehet a lemezre.

Hozzon létre egy eredeti MD5 fájlt a /média fájlt, és futtassa az md5sum parancsot a terminálon a lemez MD5 ellenőrző összegének létrehozásához.

[e-mail védett]: ~ $ touch / media / originalMD5
[e-mail védett]: ~ $ md5sum / dev / sdb1> / media / originalMD5

A fenti parancsok futtatásakor létrehoz egy fájlt a paraméter által megadott célállomáson, és elmenti a lemez MD5 ellenőrző összegét (ebben az esetben a / dev / sdb1).

JEGYZET: Az md5sum parancs futtatása eltarthat egy ideig, a lemez méretétől és a rendszer processzorának sebességétől függően.

A lemez MD5 ellenőrző összegét a terminál következő parancsának futtatásával olvashatja el, amely megadja az ellenőrző összeget és a lemez nevét:

[e-mail védett]: ~ $ cat / media / originalMD5

Képfájl létrehozása a lemezről

Most a dd parancsot a lemez képfájljának létrehozásához. Fájl futtatásához futtassa a következő parancsot a terminálon.

[e-mail védett]: ~ $ dd if = / dev / sdb1 = / media / diskImage.img bs = 1k

Ez létrehoz egy fájlt a megadott helyen. A dd a parancs nem működik egyedül. Ebben a parancsban meg kell adnia néhány beállítást. A dd parancs jelentése a következő:

• Ha: A másolni kívánt fájl vagy meghajtó képének beviteli útvonala.
• nak,-nek: A képfájl kimeneti elérési útja a ha
• bs: A blokk mérete; ebben a példában 1k vagy 1024B blokkméretet használunk.

JEGYZET: Ne próbálja meg elolvasni vagy megnyitni a lemezképfájlt, mert az ugyanolyan méretű, mint a lemezé, és kézi rendszerhez juthat. Ügyeljen arra is, hogy a fájl helyét okosan adja meg a nagyobb méret miatt.

MD5 ellenőrző összeg létrehozása a képfájlról

Az előző lépésben létrehozott lemezképfájl MD5 ellenőrző összegét hozzuk létre az első lépésben végrehajtott eljárással. Futtassa a következő parancsot a terminálon a lemezképfájl MD5 ellenőrző összegének létrehozásához:

[e-mail védett]: ~ $ md5sum / media / diskImage.img> / media / imageMD5

Ez létrehozza a lemezképfájl MD5 ellenőrző összegét. Most a következő fájlok állnak rendelkezésre:

• A lemez MD5 ellenőrző összege
• A lemez lemezfájlja
• A képfájl MD5 ellenőrző összege

Az MD5 ellenőrző összegek összehasonlítása

Eddig létrehoztunk egy MD5 ellenőrző összeget a lemezről és a lemezképfájlról. Ezután annak ellenőrzéséhez, hogy létrejött-e a pontos lemezkép, összehasonlítjuk mind a lemez, mind a lemezképfájl ellenőrző összegeit. Írja be a következő parancsokat a terminálba a két fájl szövegének kinyomtatásához a két fájl összehasonlításához:

[e-mail védett]: ~ $ cat / media / originalMD5
[e-mail védett]: ~ $ cat / media / imageMD5

Ezek a parancsok mindkét fájl tartalmát megjelenítik. Mindkét fájl MD5 ellenőrző összegének meg kell egyeznie. Ha a fájlok MD5 ellenőrző összegei nem azonosak, akkor a lemezképfájl létrehozása során problémának kell lennie.

A lemez visszaállítása a képfájlból

Ezután visszaállítjuk az eredeti lemezt a lemezképfájlból a dd parancs. Írja be a következő parancsot a terminálba az eredeti lemez helyreállításához a lemezképfájlból:

[e-mail védett]: ~ $ dd if = / media / diskImage.img = / dev / sdb1 bs = 1k

A fenti parancs hasonló a lemez lemezképfájljának létrehozásához használt parancshoz. Ebben az esetben azonban a bemenet és a kimenet átkapcsol, megfordítva az adatfolyamot, hogy visszaállítsa a lemezt a lemezfájlból. A fenti parancs megadása után most helyreállítottuk a lemezünket a lemezképfájlból.

MD5 ellenőrző összeg létrehozása a visszaállított lemezről

Ezután létrehozunk egy MD5 ellenőrző összeget a lemezképfájlból visszaállított lemezről. Írja be a következő parancsot a helyreállított lemez MD5 ellenőrző összegének létrehozásához:

[e-mail védett]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

A fenti paranccsal létrehozta a helyreállított lemez MD5 ellenőrző összegét, és megjelenítette azt a terminálon. Összehasonlíthatjuk a helyreállított lemez MD5 ellenőrző összegét az eredeti lemez MD5 ellenőrző összegével. Ha mindkettő megegyezik, ez azt jelenti, hogy pontosan helyreállítottuk a lemezünket a lemezképről.

Az MD5 ellenőrző összeg tesztelése a megváltozott képfájlhoz képest

Eddig összehasonlítottuk a pontosan létrehozott lemezek és lemezképfájlok MD5 ellenőrző összegeit. Ezt követően ezt az igazságügyi elemzést használjuk a megváltozott lemezképfájl pontosságának ellenőrzésére. Módosítsa a lemezképfájlt a következő parancs futtatásával a terminálon.

[e-mail védett]: ~ $ echo “abcdef” >> / media / diskImage.img

Most megváltoztattuk a lemezképfájlunkat, és ez már nem ugyanaz, mint korábban. Ne feledje, hogy a »> helyett a» >> jelet használtam.”Ez azt jelenti, hogy a lemezképfájlt csatoltam, ahelyett, hogy újraírtam volna. Ezután létrehozunk egy másik MD5 ellenőrző összeget a megváltozott lemezképfájlról a terminál md5sum parancsával.

[e-mail védett]: ~ $ md5sum / media / diskImage.img> / media / megváltozottMD5

A parancs megadásával MD5 ellenőrző összeg jön létre a megváltozott lemezképfájlról. Most a következő fájlok vannak:

• Eredeti MD5 ellenőrző összeg
• Disk Image MD5 ellenőrző összeg
• Visszaállította az MD5 lemez ellenőrző összegét
• Megváltozott az MD5 lemezkép ellenőrző összege

Az összes MD5 ellenőrző összeg összehasonlítása

Beszélgetésünket az oktatóanyag alatt létrehozott összes MD5 ellenőrző összeg összehasonlításával fejezzük be. Használja a macska parancs az összes MD5 ellenőrző összegű fájl elolvasására, hogy összehasonlíthassa őket egymással:

[e-mail védett]: ~ $ cat / media / * MD5

A fenti parancs megjeleníti az összes MD5 ellenőrző összegű fájl tartalmát. A fenti képből láthatjuk, hogy az összes MD5 ellenőrző összeg egyenlő, kivéve a felsőt, amelyet a megváltoztatott lemezképfájllal hoztak létre. Így ily módon ellenőrizhetjük a fájlok pontosságát a dd és md5sum parancsokat.

Következtetés

Az adatok biztonsági másolatának létrehozása fontos stratégia a katasztrófa esetén történő helyreállításhoz, de a biztonsági másolat haszontalan, ha az adatai az átvitel közben megsérülnek. Annak érdekében, hogy az adatátvitel pontos legyen, néhány eszközzel műveleteket hajthat végre az adatokkal annak hitelesítéséhez, hogy az adatok sérültek-e a másolási folyamat során.

A dd A command egy beépített parancssori segédprogram, amelyet a lemezeken tárolt adatok képfájljainak létrehozására használnak. Használhatja a md5sum parancs az újonnan létrehozott kép MD5 ellenőrző összegének létrehozására, amely hitelesíti a másolt adatok pontosságát, hogy az átvitt adatokra és a dd parancs. Ez az oktatóanyag megvitatta a dd és md5sum eszközök a kriminalisztikai kontextusban a lemásolt adatok pontosságának biztosítása érdekében.