Hur man använder dd-kommandot i kriminalteknik

När du använder kommandoraden i Ubuntu kan du behöva kopiera en fil från en plats till en annan. Du kanske också vill se till att data kopieras korrekt. Anta till exempel att du vill ha en säkerhetskopia av din disk och att du vill se till att den säkerhetskopieras korrekt. För att utföra denna åtgärd kan du använda dd (Datadump) kommandoradsverktyg tillgängligt i många Linux-distributioner, som Ubuntu och Fedora. De dd verktyget är ett inbyggt kommandoradsverktyg och du behöver inte installera det innan du använder det här verktyget. Det grundläggande syftet med detta kommando är att överföra data från en enhet till en annan samtidigt som man ser till att själva data inte ändras. Verktygets förmåga att exakt flytta data från en enhet till en annan gör det till ett populärt verktyg för säkerhetskopiering av dina data. Utan md5sum, den dd verktyget överför bara data från enhet till enhet, men om du använder dd verktyg med md5sum, då kan du se till att dataöverföringen inte skadas. Denna handledning kommer att diskutera några olika användningsfall av dd kommando, särskilt i samband med Rättsmedicin.

Komma igång med dd-kommandot

För att komma igång med dd kommando, öppna först terminalen genom att trycka på Ctrl + Alt + T. Kör sedan följande kommando:

[e-postskyddad]: ~ $ man dd

Om du kör ovanstående kommando visas användarmanualen för dd kommando. De dd kommandot används med vissa parametrar. För att lista alla tillgängliga parametrar, kör följande kommando i terminalen:

[e-postskyddad]: ~ $ dd --hjälp

Ovanstående kommando ger dig alla tillgängliga alternativ som kan användas med dd kommando. Denna artikel kommer inte att diskutera alla tillgängliga alternativ, utan bara de som är relaterade till det givna ämnet. Nedan listas några av de viktigaste parametrarna för dd kommando:

• bs = B: Denna parameter ställer in antalet byte B som kan läsas eller skrivas när som helst när du skapar en diskavbildningsfil. Standardvärdet för bs är 512 byte.
• cbs = B: Denna parameter ställer in antalet byte B som kan konverteras åt gången under valfri process.
• räkna = N: Denna parameter ställer in antalet N inmatningsblock med data som ska kopieras.
• if = DEST: Denna parameter tar filen från destinationen DEST.
• av = DEST: Denna parameter sparar filen till destinationen DEST.

Viktiga villkor att granska

I denna handledning, medan du diskuterar dd kommando i kriminaltekniska sammanhang, kommer vi att använda några tekniska termer som du måste känna till innan du går igenom handledningen. Följande är termer som kommer att användas upprepade gånger under hela handledningen:

• MD5-kontrollsumma: MD5-kontrollsumman är den 32-teckensträng som genereras av en hashingalgoritm som är unik för olika data. Inga två olika filer kan ha samma MD5-kontrollsumma.
• md5sum: Md5sum är ett kommandoradsverktyg som används för att implementera en 128-bitars hashingalgoritm och används också för att generera en MD5-kontrollsumma av unika data. Vi använder md5sum i handledningen i den här artikeln för att generera MD5-kontrollsummor med data.
• Diskbildfil: Diskavbildningsfilen är den exakta kopian av disken från vilken den skapas. Vi kan säga att det är en ögonblicksbild av skivan. Vi kan återställa vår diskdata från den här diskavbildningsfilen vid behov. Den här filen har exakt samma storlek som själva disken. Vi kommer att använda dd kommando för att skapa en diskavbildningsfil från disken.

Handledning Översikt

I den här handledningen skapar vi ett säkerhetskopieringssystem och verifierar om data säkerhetskopieras korrekt med dd och md5sum kommandon. Först kommer vi att specificera den skiva som vi vill skapa en säkerhetskopia för. Därefter använder vi dd kommandoradsverktyg för att skapa en diskavbildningsfil på disken. Sedan skapar vi MD5-kontrollsummar för både skiv- och skivavbildningsfilen för att verifiera om skivavbildningsfilen är korrekt. Efter detta kommer vi att återställa disken från diskavbildningsfilen. Vi genererar sedan en MD5-kontrollsumma för den återställda disken och verifierar den genom att jämföra den med MD5-kontrollsumman för den ursprungliga disken. Slutligen kommer vi att ändra diskavbildningsfilen och skapa MD5-kontrollsumman från den ändrade diskavbildningsfilen för att testa noggrannheten. MD5-kontrollsumman för den ändrade diskavbildningsfilen ska inte vara densamma som den ursprungliga filen.

Dd-kommandot i ett kriminaltekniskt sammanhang

De dd kommandot kommer som standard med många Linux-distributioner (Fedora, Ubuntu, etc.). Förutom att utföra enkla dataåtgärder, dd kommandot kan också användas för att utföra några grundläggande kriminaltekniska uppgifter. I den här handledningen använder vi dd kommando, tillsammans med md5sum, för att verifiera korrekt skapande av skivavbildning från originaldisken.

Steg att följa

Nedan följer stegen som krävs för att verifiera en ljuddiskavbildning med hjälp av md5sum och dd kommandon.

• Skapa MD5-kontrollsumma för disken med md5sum kommando
• Skapa bildfil på disken med dd kommando
• Skapa MD5-kontrollsumma för bildfilen med hjälp av md5sum kommando
• Jämför MD5-kontrollsumman för diskavbildningsfilen med MD5-kontrollsumman för disken
• Återställ disken från diskavbildningsfilen
• Skapa MD5-kontrollsumma för den återställda disken
• Testa MD5-kontrollsumman mot den ändrade bildfilen
• Jämför alla MD5-kontrollsummor

Nu kommer vi att diskutera alla steg i detalj för att bättre visa hur saker fungerar med dessa kommandon.

Skapa en MD5-kontrollsumma för disken

För att komma igång loggar du först in som root-användare. För att logga in som en rotanvändare, kör följande kommando i terminalen. Du kommer då att uppmanas att ange lösenordet. Ange ditt root-lösenord och kom igång som root-användare.

[e-postskyddad]: ~ $ sudo su

Innan du skapar MD5-kontrollsumman, välj först den skiva du vill använda. För att lista alla tillgängliga diskar på din enhet, kör följande kommando i terminalen:

[e-postskyddad]: ~ $ df -h

För den här handledningen kommer jag att använda / dev / sdb1 disk finns på min enhet. Du kan välja en lämplig disk från din enhet att använda.

NOTERA: Välj den här disken klokt och använd dd kommandoradsverktyget i en säker miljö, eftersom det kan ha förödande effekter på din disk om den inte används ordentligt.

Skapa en original MD5-fil i /media fil och kör kommandot md5sum i terminalen för att skapa en MD5-kontrollsumma för disken.

[e-postskyddad]: ~ $ touch / media / originalMD5
[e-postskyddad]: ~ $ md5sum / dev / sdb1> / media / originalMD5

När du kör ovanstående kommandon skapar den en fil i destinationen som anges av parametern och sparar MD5-kontrollsumman för disken (/ dev / sdb1, i det här fallet) i filen.

NOTERA: Kommandot md5sum kan ta lite tid att köra, beroende på storleken på disken och hastigheten på systemets processor.

Du kan läsa MD5: s kontrollsumma på disken genom att köra följande kommando i terminalen, vilket ger kontrollsumman samt disknamnet:

[e-postskyddad]: ~ $ cat / media / originalMD5

Skapa en bildfil på disken

Nu ska vi använda dd kommando för att skapa en bildfil på disken. Kör följande kommando i terminalen för att skapa en bildfil.

[e-postskyddad: ~ $ dd if = / dev / sdb1 of = / media / diskImage.img bs = 1k

Detta skapar en fil på den angivna platsen. De dd kommandot fungerar inte ensamt. Du måste också ange några alternativ inom detta kommando. Alternativen som ingår i dd kommando har följande betydelse:

• Om: Sökvägen för att mata in bilden av filen eller enheten som ska kopieras.
• av: Sökvägen för att mata ut den bildfil som erhållits från om
• bs: Blockstorleken; i det här exemplet använder vi en blockstorlek på 1k eller 1024B.

NOTERA: Försök inte läsa eller öppna diskavbildningsfilen, eftersom den har samma storlek som den på din disk, och du kan hamna i ett överlämnat system. Var också noga med att ange platsen för den här filen klokt på grund av dess större storlek.

Skapa en MD5-kontrollsumma för bildfilen

Vi skapar en MD5-kontrollsumma av diskavbildningsfilen som skapades i föregående steg med samma procedur som utfördes i det första steget. Kör följande kommando i terminalen för att skapa en MD5-kontrollsumma av diskavbildningsfilen:

[e-postskyddad: ~ $ md5sum / media / diskImage.img> / media / imageMD5

Detta skapar en MD5-kontrollsumma för diskavbildningsfilen. Nu har vi följande filer tillgängliga:

• MD5-kontrollsumma för disken
• Diskavbildningsfil på disken
• MD5-kontrollsumma för bildfilen

Jämföra MD5-kontrollsummor

Hittills har vi skapat en MD5-kontrollsumma för disken och diskavbildningsfilen. Därefter, för att kontrollera om en exakt diskavbildning har skapats, jämför vi kontrollsummorna för både själva disken och diskavbildningsfilen. Ange följande kommandon i din terminal för att skriva ut texten i båda filerna för att jämföra de två filerna:

[e-postskyddad]: ~ $ cat / media / originalMD5
[e-postskyddad]: ~ $ cat / media / imageMD5

Dessa kommandon visar innehållet i båda filerna. MD5-kontrollsumman för båda filerna måste vara densamma. Om MD5-kontrollsummorna för filerna inte är desamma måste det ha uppstått ett problem när du skapade diskavbildningsfilen.

Återställa disken från bildfilen

Därefter återställer vi den ursprungliga disken från diskavbildningsfilen med hjälp av dd kommando. Skriv följande kommando i terminalen för att återställa den ursprungliga disken från diskavbildningsfilen:

[e-postskyddad]: ~ $ dd if = / media / diskImage.bild av = / dev / sdb1 bs = 1k

Ovanstående kommando liknar det som används för att skapa en diskavbildningsfil på disken. I det här fallet byts emellertid ingången och utgången, vilket vänder dataflödet för att återställa skivan från diskavbildningsfilen. Efter att ha angett ovanstående kommando har vi nu återställt vår disk från diskavbildningsfilen.

Skapa en MD5-kontrollsumma för den återställda disken

Därefter skapar vi en MD5-kontrollsumma för disken som återställts från diskavbildningsfilen. Skriv följande kommando för att skapa en MD5-kontrollsumma för den återställda disken:

[e-postskyddad]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Med hjälp av kommandot ovan skapade du en MD5-kontrollsumma för den återställda disken och visade den i terminalen. Vi kan jämföra MD5-kontrollsumman för den återställda disken med MD5-kontrollsumman för den ursprungliga disken. Om båda är desamma betyder det att vi har återställt vår disk från diskavbildningen.

Testa MD5-kontrollsumman mot den ändrade bildfilen

Hittills har vi jämfört MD5-kontrollsummorna för exakt skapade diskar och diskavbildningsfiler. Därefter kommer vi att använda denna kriminaltekniska analys för att kontrollera noggrannheten hos en förändrad diskavbildningsfil. Ändra diskavbildningsfilen genom att köra följande kommando i terminalen.

[e-postskyddad]: ~ $ echo “abcdef” >> / media / diskImage.img

Nu har vi ändrat vår diskavbildningsfil, och den är inte längre densamma som tidigare. Observera att jag har använt tecknet ">>" istället för ">.”Det betyder att jag har lagt till diskavbildningsfilen istället för att skriva om den. Därefter skapar vi ytterligare en MD5-kontrollsumma för den ändrade diskavbildningsfilen med kommandot md5sum i terminalen.

[e-postskyddad: ~ $ md5sum / media / diskImage.img> / media / changedMD5

Om du anger detta kommando skapas en MD5-kontrollsumma för den ändrade diskavbildningsfilen. Nu har vi följande filer:

• Original MD5 kontrollsumma
• Disk Image MD5-kontrollsumma
• Återställd MD5-kontrollsumma
• Ändrad skivavbild MD5-kontrollsumma

Jämför alla MD5-kontrollsummor

Vi kommer att avsluta vår diskussion med att jämföra alla MD5-kontrollsummor som skapats under denna handledning. Använd katt kommando för att läsa alla MD5-kontrollsummafiler för att jämföra dem med varandra:

[e-postskyddad]: ~ $ cat / media / * MD5

Ovanstående kommando visar innehållet i alla MD5-kontrollsummafiler. Vi kan se från bilden ovan att alla MD5-kontrollsummor är lika, förutom den översta, som skapades med den ändrade diskavbildningsfilen. Så på detta sätt kan vi verifiera filernas noggrannhet med hjälp av dd och md5sum kommandon.

Slutsats

Att skapa en säkerhetskopia av dina data är en viktig strategi för att återställa den vid en katastrof, men säkerhetskopian är värdelös om dina data blir skadade mitt i överföringen. För att säkerställa att dataöverföringen är korrekt kan du använda några verktyg för att utföra åtgärder på data för att verifiera om data har skadats genom kopieringsprocessen.

De dd kommandot är ett inbyggt kommandoradsverktyg som används för att skapa bildfiler av data lagrade på diskar. Du kan också använda md5sum kommando för att skapa en MD5-kontrollsumma för den nyskapade bilden, som autentiserar noggrannheten hos de kopierade data, för att utföra kriminalteknik på de överförda data tillsammans med dd kommando. Denna handledning diskuterade hur man använder dd och md5sum verktyg i ett kriminaltekniskt sammanhang för att säkerställa noggrannheten för kopierad diskinformation.