Cómo usar el comando dd en medicina forense

Al usar la línea de comandos en Ubuntu, es posible que deba copiar un archivo de un lugar a otro. También es posible que desee asegurarse de que los datos se copien con precisión. Por ejemplo, digamos que desea una copia de seguridad de su disco y desea asegurarse de que esté correctamente respaldada. Para realizar esta acción, puede utilizar el dd (Volcado de datos) utilidad de línea de comandos disponible en muchas distribuciones de Linux, como Ubuntu y Fedora. La dd La herramienta es una utilidad de línea de comandos incorporada y no es necesario instalarla antes de usar esta herramienta. El propósito básico de este comando es transferir datos de una unidad a otra y al mismo tiempo asegurarse de que los datos en sí no cambien. La capacidad de esta herramienta para mover datos con precisión de un dispositivo a otro la convierte en una herramienta popular para realizar copias de seguridad de sus datos. Sin md5sum, el dd La herramienta solo transfiere datos de una unidad a otra, pero si usa la dd herramienta con md5sum, entonces puede asegurarse de que la transferencia de datos no se dañe. Este tutorial discutirá algunos casos de uso diferentes de la dd comando, particularmente en el contexto de Forense.

Introducción al comando dd

Para empezar con el dd comando, primero, abra el terminal presionando Ctrl + Alt + T. Luego, ejecute el siguiente comando:

[correo electrónico protegido]: ~ $ man dd

Al ejecutar el comando anterior, se mostrará el manual de usuario del dd mando. La dd el comando se usa con algunos parámetros. Para enumerar todos los parámetros disponibles, ejecute el siguiente comando en la terminal:

[correo electrónico protegido]: ~ $ dd --help

El comando anterior le dará todas las opciones disponibles que se pueden usar con el dd mando. Este artículo no discutirá todas las opciones disponibles, sino solo aquellas relacionadas con el tema dado. A continuación se enumeran algunos de los parámetros más importantes del dd mando:

• bs = B: Este parámetro establece el número de bytes B que se pueden leer o escribir en cualquier momento al crear un archivo de imagen de disco. El valor predeterminado de bs es 512 bytes.
• cbs = B: Este parámetro establece el número de bytes B que se pueden convertir a la vez durante cualquier proceso.
• cuenta = N: Este parámetro establece el número N de bloques de entrada de datos que se copiarán.
• si = DEST: Este parámetro toma el archivo del destino DEST.
• de = DEST: Este parámetro guarda el archivo en el destino DEST.

Términos importantes para revisar

En este tutorial, mientras se analiza el dd comando en el contexto forense, usaremos algunos términos técnicos con los que debe estar familiarizado antes de seguir el tutorial. Los siguientes son los términos que se utilizarán repetidamente a lo largo del tutorial:

• Suma de comprobación MD5: La suma de comprobación MD5 es la cadena de 32 caracteres generada por un algoritmo hash que es único para diferentes datos. No hay dos archivos diferentes que puedan tener la misma suma de comprobación MD5.
• md5sum: Md5sum es una utilidad de línea de comandos que se utiliza para implementar un algoritmo hash de 128 bits y también se utiliza para generar una suma de comprobación MD5 de datos únicos. Usaremos md5sum en el tutorial de este artículo para generar sumas de comprobación MD5 de datos.
• Archivo de imagen de disco: El archivo de imagen de disco es la copia exacta del disco a partir del cual se creó. Podemos decir que es una instantánea puntual del disco. Podemos restaurar los datos de nuestro disco desde este archivo de imagen de disco cuando sea necesario. Este archivo tiene exactamente el mismo tamaño que el propio disco. Usaremos el dd comando para crear un archivo de imagen de disco desde el disco.

Descripción general del tutorial

En este tutorial, crearemos un sistema de respaldo y verificaremos si los datos están respaldados con precisión con el dd y md5sum comandos. Primero, especificaremos el disco del que queremos crear una copia de seguridad. A continuación, usaremos el dd utilidad de línea de comandos para crear un archivo de imagen de disco del disco. Luego, crearemos sumas de verificación MD5 tanto del disco como del archivo de imagen de disco para verificar si el archivo de imagen de disco es preciso. Después de esto, restauraremos el disco desde el archivo de imagen del disco. Luego, generaremos una suma de verificación MD5 del disco restaurado y la verificaremos comparándola con la suma de verificación MD5 del disco original. Finalmente, cambiaremos el archivo de imagen de disco y crearemos la suma de comprobación MD5 a partir de este archivo de imagen de disco modificado para probar la precisión. La suma de comprobación MD5 del archivo de imagen de disco modificado no debe ser la misma que la del archivo original.

El comando dd en un contexto forense

La dd El comando viene por defecto con muchas distribuciones de Linux (Fedora, Ubuntu, etc.). Además de realizar acciones simples sobre los datos, el dd El comando también se puede usar para realizar algunas tareas forenses básicas. En este tutorial, usaremos el dd comando, junto con md5sum, para verificar la creación precisa de imágenes de disco a partir del disco original.

Pasos a seguir

A continuación se muestran los pasos necesarios para verificar una imagen de disco de sonido utilizando el md5sum y dd comandos.

• Cree la suma de comprobación MD5 del disco utilizando el md5sum mando
• Cree un archivo de imagen del disco usando el dd mando
• Cree la suma de comprobación MD5 del archivo de imagen utilizando el md5sum mando
• Compare la suma de comprobación MD5 del archivo de imagen del disco con la suma de comprobación MD5 del disco
• Restaurar el disco desde el archivo de imagen de disco
• Crear suma de comprobación MD5 del disco restaurado
• Pruebe la suma de comprobación MD5 con el archivo de imagen alterado
• Compare todas las sumas de comprobación MD5

Ahora, discutiremos todos los pasos en detalle, para mostrar mejor cómo funcionan las cosas con estos comandos.

Creación de una suma de comprobación MD5 del disco

Para comenzar, primero inicie sesión como usuario root. Para iniciar sesión como usuario root, ejecute el siguiente comando en la terminal. Luego se le pedirá la contraseña. Ingrese su contraseña de root y comience como usuario root.

[correo electrónico protegido]: ~ $ sudo su

Antes de crear la suma de comprobación MD5, primero seleccione el disco que desea usar. Para enumerar todos los discos disponibles en su dispositivo, ejecute el siguiente comando en la terminal:

[correo electrónico protegido]: ~ $ df -h

Para este tutorial, usaré el / dev / sdb1 disco disponible en mi dispositivo. Puede elegir un disco apropiado de su dispositivo para usar.

NOTA: Elija este disco sabiamente y use el dd utilidad de línea de comandos en un entorno seguro, ya que puede tener efectos devastadores en su disco si no se usa correctamente.

Cree un archivo MD5 original en el /medios de comunicación archivo y ejecute el comando md5sum en la terminal para crear una suma de comprobación MD5 del disco.

[correo electrónico protegido]: ~ $ touch / media / originalMD5
[correo electrónico protegido]: ~ $ md5sum / dev / sdb1> / media / originalMD5

Cuando ejecuta los comandos anteriores, crea un archivo en el destino especificado por el parámetro y guarda la suma de comprobación MD5 del disco (/ dev / sdb1, en este caso) en el archivo.

NOTA: El comando md5sum puede tardar un tiempo en ejecutarse, según el tamaño del disco y la velocidad del procesador de su sistema.

Puede leer la suma de comprobación MD5 del disco ejecutando el siguiente comando en la terminal, que dará la suma de comprobación, así como el nombre del disco:

[correo electrónico protegido]: ~ $ cat / media / originalMD5

Creación de un archivo de imagen del disco

Ahora, usaremos el dd comando para crear un archivo de imagen del disco. Ejecute el siguiente comando en la terminal para crear un archivo de imagen.

[correo electrónico protegido]: ~ $ dd if = / dev / sdb1 of = / media / diskImage.img bs = 1k

Esto creará un archivo en la ubicación especificada. La dd el comando no funciona solo. También debe especificar algunas opciones dentro de este comando. Las opciones incluidas con el dd comando tiene el siguiente significado:

• Si: La ruta para ingresar la imagen del archivo o unidad que se va a copiar.
• de: La ruta para generar el archivo de imagen obtenido del Si
• bs: El tamaño del bloque; en este ejemplo, estamos usando un tamaño de bloque de 1k o 1024B.

NOTA: No intente leer o abrir el archivo de imagen del disco, ya que es del mismo tamaño que el de su disco y puede terminar con un sistema de mano. Además, asegúrese de especificar la ubicación de este archivo con prudencia debido a su mayor tamaño.

Creación de una suma de comprobación MD5 del archivo de imagen

Crearemos una suma de comprobación MD5 del archivo de imagen de disco creado en el paso anterior usando el mismo procedimiento realizado en el primer paso. Ejecute el siguiente comando en la terminal para crear una suma de comprobación MD5 del archivo de imagen de disco:

[correo electrónico protegido]: ~ $ md5sum / media / diskImage.img> / media / imageMD5

Esto creará una suma de comprobación MD5 del archivo de imagen de disco. Ahora, tenemos los siguientes archivos disponibles:

• Suma de comprobación MD5 del disco
• Archivo de imagen de disco del disco
• Suma de comprobación MD5 del archivo de imagen

Comparación de sumas de comprobación MD5

Hasta ahora, hemos creado una suma de comprobación MD5 del disco y del archivo de imagen del disco. A continuación, para comprobar si se ha creado una imagen de disco precisa, compararemos las sumas de comprobación tanto del disco en sí como del archivo de imagen de disco. Ingrese los siguientes comandos en su terminal para imprimir el texto de ambos archivos para comparar los dos archivos:

[correo electrónico protegido]: ~ $ cat / media / originalMD5
[correo electrónico protegido]: ~ $ cat / media / imageMD5

Estos comandos mostrarán el contenido de ambos archivos. La suma de comprobación MD5 de ambos archivos debe ser la misma. Si las sumas de comprobación MD5 de los archivos no son las mismas, debe haber ocurrido un problema al crear el archivo de imagen de disco.

Restaurar el disco desde el archivo de imagen

A continuación, restauraremos el disco original desde el archivo de imagen de disco usando el dd mando. Escriba el siguiente comando en la terminal para restaurar el disco original desde el archivo de imagen de disco:

[correo electrónico protegido]: ~ $ dd if = / media / diskImage.img de = / dev / sdb1 bs = 1k

El comando anterior es similar al que se usa para crear un archivo de imagen de disco del disco. En este caso, sin embargo, la entrada y la salida se cambian, invirtiendo el flujo de datos para restaurar el disco desde el archivo de imagen de disco. Después de ingresar el comando anterior, ahora hemos restaurado nuestro disco desde el archivo de imagen de disco.

Creación de una suma de comprobación MD5 del disco restaurado

A continuación, crearemos una suma de comprobación MD5 del disco restaurado desde el archivo de imagen de disco. Escriba el siguiente comando para crear una suma de comprobación MD5 del disco restaurado:

[correo electrónico protegido]: ~ $ md5sum / dev / sdb1> / media / RestoredMD5

Usando el comando anterior, creó una suma de comprobación MD5 del disco restaurado y lo mostró en la terminal. Podemos comparar la suma de comprobación MD5 del disco restaurado con la suma de comprobación MD5 del disco original. Si ambos son iguales, esto significa que hemos restaurado con precisión nuestro disco a partir de la imagen del disco.

Prueba de la suma de comprobación MD5 con el archivo de imagen alterado

Hasta ahora, hemos comparado las sumas de comprobación MD5 de discos y archivos de imagen de disco creados con precisión. A continuación, utilizaremos este análisis forense para comprobar la precisión de un archivo de imagen de disco alterado. Cambie el archivo de imagen de disco ejecutando el siguiente comando en la terminal.

[correo electrónico protegido]: ~ $ echo “abcdef” >> / media / diskImage.img

Ahora, hemos cambiado nuestro archivo de imagen de disco y ya no es el mismo que antes. Tenga en cuenta que he utilizado el signo ">>" en lugar de ">."Esto significa que agregué el archivo de imagen del disco, en lugar de reescribirlo. A continuación, crearemos otra suma de comprobación MD5 del archivo de imagen de disco modificado usando el comando md5sum en la terminal.

[correo electrónico protegido]: ~ $ md5sum / media / diskImage.img> / media / cambiadoMD5

Al ingresar este comando, se creará una suma de comprobación MD5 del archivo de imagen de disco modificado. Ahora tenemos los siguientes archivos:

• Suma de comprobación MD5 original
• Suma de comprobación de imagen de disco MD5
• Suma de comprobación MD5 del disco restaurado
• Se modificó la suma de comprobación MD5 de la imagen de disco

Comparación de todas las sumas de comprobación MD5

Concluiremos nuestra discusión comparando todas las sumas de verificación MD5 creadas durante este tutorial. Utilizar el gato comando para leer todos los archivos de suma de comprobación MD5 para compararlos entre sí:

[correo electrónico protegido]: ~ $ cat / media / * MD5

El comando anterior mostrará el contenido de todos los archivos de suma de comprobación MD5. Podemos ver en la imagen de arriba que todas las sumas de comprobación MD5 son iguales, excepto la superior, que se creó con el archivo de imagen de disco modificado. Entonces, de esta manera, podemos verificar la precisión de los archivos usando el dd y md5sum comandos.

Conclusión

Crear una copia de seguridad de sus datos es una estrategia importante para restaurarla en caso de desastre, pero la copia de seguridad es inútil si sus datos se corrompen en medio de la transferencia. Para asegurarse de que la transferencia de datos sea precisa, puede utilizar algunas herramientas para realizar acciones en los datos para autenticar si los datos se han corrompido a través del proceso de copia.

La dd command es una utilidad de línea de comandos incorporada que se utiliza para crear archivos de imagen de los datos almacenados en discos. También puede utilizar el md5sum comando para crear una suma de comprobación MD5 de la imagen recién creada, que autentica la precisión de los datos copiados, para realizar análisis forenses en los datos transferidos junto con el dd mando. Este tutorial discutió cómo usar el dd y md5sum herramientas en un contexto forense para garantizar la precisión de los datos del disco copiados.