Применение dd
Есть два способа применения dd. Один из них - побитное копирование данных. При этом создается зеркальный образ данных на другом жестком диске или разделе диска. Другой способ - создание одного большого файла. Иногда это удобнее для целей анализа и мобильности. Для верификации можно легко вычислить хэш файла. Этот файл часто называют свидетельским, и многие судебные программы созданы для чтения данных из него.
Основной формат команды dd следующий:
dd -if=входной_файл -of=выходной_файл опции
где вместо входного файла нужно подставить копируемое устройство, вместо выходного - имя файла, в который производится копирование, а вместо опций - любые опции dd, которые вы хотите использовать. У dd много опций; в табл. 11.4 перечислены основные из них.
| bs= | Размер блока. Размер в байтах блока, копируемого за один раз. | |
| count= | Подсчет блоков. Сколько блоков копировать. Это полезно, если вы не хотите копировать всю файловую систему, поскольку у вас очень большой жесткий диск или раздел диска, или ограниченный объем пространства на целевом носителе | |
| skip= | Пропустить заданное число блоков, прежде чем начать копирование. Это также полезно при копировании части файловой системы. | |
| conv= | Задает любую из следующих подопций:
notrunc - не обрезать вывод при возникновении ошибки. Рекомендуется в большинстве случаев. noerror - не останавливать чтение входного файла в случае ошибки, такой как проблемы с физическим носителем. Также рекомендуется. sync - требует перед собой команду noerror. Если происходит ошибка, то команда sync подставит на ее место нули, сохраняя последовательную непрерывность данных. |
Если вы хотите с помощью dd скопировать устройство на приводе жесткого диска /dev/hdc на другой привод жесткого диска, устройство hdd, можно воспользоваться следующей командой:
dd -if=/dev/hdc of=/dev/hdd bs=1024 conv=noerror,notrunc,sync
Эта команда копирует содержимое устройства /dev/hdc (вероятно, вашего основного жесткого диска) на устройство /dev/hdd (вероятно, ваш вторичный жесткий диск).
Убедитесь, что вы понимаете, какие диски каким устройствам соответствуют. Как поясняется во врезке о программе dd, ошибка здесь может обойтись очень дорого!
 Будьте очень осторожны с dd! Не проявляйте легкомыслия при использовании низкоуровневых дисковых средств, таких как dd. Одна неверная команда может легко затереть весь жесткий диск. Будьте особенно осторожны в отношении входных и выходных файлов. Если их перепутать, можно перезаписать свидетельства или сделать кое-что похуже. Не играйте с dd, если не владеете основами работы с жесткими дисками, не знаете, что такое блок и сектор. В отличие от дружественной по отношению к пользователям Windows, dd никогда не переспрашивает дважды, когда вы собираетесь сделать какую-нибудь глупость. Поэтому, как хороший портной, семь раз прочтите руководство и один раз выполните команду. |
dd if=/dev/hdc of=/mnt/storage/evidence.bin
Вероятно, вы захотите смонтировать новое устройство для сохранения этого файла. Желательно, чтобы это был совершенно новый носитель, чтобы не испортить свидетельства старыми данными. Помните, что даже стертые данные проявятся при использовании этого средства. Если у вас нет чистого носителя, убедитесь, что применяемый носитель тщательно прочищен с помощью дисковой утилиты (кстати, dd имеет такую возможность, прочтите о ней в оперативной справке).
Когда все свидетельства собраны, вы готовы к их дальнейшему анализу с помощью судебного инструментария. Есть много великолепных, профессионального уровня коммерческих наборов средств. Имеются также некоторые очень хорошие свободные наборы судебных средств как для Windows, так и UNIX.
The Sleuth Kit/Autopsy Forensic Browser Автор/основной контакт: Brian Carrier Web-сайт: http://www.sleuthkit.org/sleuthkit/index.php Платформы: Большинство UNIX Лицензия: Публичная лицензия IBM Рассмотренная версия: 1.70 Списки почтовой рассылки: The Sleuth Kit User's list Общие вопросы и обсуждение Sleuth Kit. Подписка по адресу http://lists.sourceforge.net/lists/listrinfo/sleuthkit-users The Sleuth Kit Informer list Ежемесячный бюллетень с новостями, советами и рекомендациями. Подписка по адресу http://www.sleuthkit.org/informer/index.php The Sleuth Kit Developer's list Для вопросов и обсуждений разработчиков. Подписка по адресу http://lists.sourceforge.net/lists/listinfo/sleuthkit-developers The Sleuth Kit Announcement list Список рассылки только для чтения с основными объявлениями или выпусками Sleuth Kit/Autopsy Forensic Browser. Подписка по адресу http://lists.sourceforge.net/lists/listinfo/sleuthkit-announce The Coroner's Toolkit (TCT) list Информация о TCT, на котором основывается Sleuth Kit. Подписка по адресу http://www.porcupine.org/forensics/tct.htm#mailing_list. |
Sleuth Kit Брайана Карьера является собранием различных судебных средств, работающих под UNIX. Он содержит части популярного Coroner's Toolkit Дэна Фармера, равно как и вклады других людей, и предоставляет стильный Web-интерфейс на базе Autopsy Forensic Browser. Sleuth Kit предназначается для работы с файлами данных, такими как вывод дисковых утилит, аналогичных dd, и обладает широкими возможностями, фактически превосходя некоторые доступные коммерческие программы. В число ключевых функций Sleuth Kit входят:
- Отслеживание различных дел и нескольких следователей.
- Просмотр файлов и каталогов, которые были размещены в файловой системе или удалены из нее.
- Доступ к низкоуровневым структурам файловой системы.
- Генерация хронологии файловой активности.
- Сортировка по категориям файлов и проверяемым расширениям.
- Поиск в данных образов по ключевым словам.
- Идентификация графических образов и создание пиктограмм.
- Поиск в базах данных хэшей, включая судебные стандарты NIST NSRL и Hash Keeper.
- Создание заметок следователя.
- Генерация отчетов.
