DC3DD разработан отделом Defense Cyber Crime Center. DC3DD — это форк популярного инструмента Data Dump (DD). Далее покажу, как установить и правильно использовать DC3DD в компьютерной криминалистике.
Еще по теме: Извлечение данных Андроид с помощью Andriller
Использование DC3DD в компьютерной криминалистике
Для начала рассмотрим возможности DC3DD:
- Получение и клонирование диска в битовом (необработанном) виде.
- Создание копии разделов диска.
- Копирование папок и файлов.
- Проверка жесткого диска на ошибки.
- Безопасное уничижение данных на жестких дисках.
- Хеширование «на лету» с использованием большего количества алгоритмов (MD5, SHA-1, SHA-256 и SHA-512).
- Запись ошибок в файл.
- Разделение выходных файлов.
- Проверка файлов.
Установка DC3DD на Kali Linux
DC3DD необходимо установить вручную в Kali Linux, но для начала обновите систему:
1 |
apt-get update |
Установите DC3DD:
1 |
sudo apt-get install dc3dd |
Использование DC3DD на Kali Linux
Запустите и изучите справку:
1 |
dc3dd --help |
Простое использование команды DC3DD выглядит следующим образом:
1 |
dc3dd [параметр 1] [параметр 2] ... [параметр n] |
Чтобы создать образ моего 8-гигабайтного диска, я использовал следующие параметры в dc3dd:
1 |
sudo dc3dd if=/dev/sdb hash=sha1 log=dc3dd8gb of=8gbproduo.dd |
Где:
- if — указывает входной файл, представляющий собой устройство, которое мы будем формировать.
- hash — указывает тип алгоритма хеширования, который мы будем использовать для проверки целостности. В этом случае я использовал старый хэш MD5.
- log — указывает имя файла журнала, в который заносятся сведения об устройстве и сборе данных, включая ошибки.
- of — указывает имя выходного файла криминалистического образа, созданного DC3DD. Хотя в этом примере был указан тип файла изображения .dd, DC3DD распознает другие форматы, включая .img, как показано в следующем примере.
Следует отметить размер устройства (в секторах и байтах), а затем сравнить его с выходными результатами для поля устройства.
На следующем скрине последняя строка отображает ход и состояние процесса сбора данных, показывая объем скопированных данных, прошедшее время в секундах и скорость.
Чем больше диск или файл, тем больше времени потребуется.
Мы видим, что количество секторов было одинаковое (15 630 336), при этом битые сектора не были заменены нулями. Мы также можем видеть, что для копии был создан хэш SHA1.
Убедимся, что выходной файл DC3DD (8gbproduo.dd) и журнал (dc3dd8gb) созданы:
В домашнем каталоге первый файл 8gbproduo.dd представляет собой выходной образ, созданный DC3DD с помощью команды of=8gbproduo.dd. Последний файл, dc3dd8gb, — это файл журнала, созданный при использовании команды log=dc3dd8gb:
Важно сохранить этот лог-файл, чтобы иметь запись о процессе сбора данных и его результатах, которые отображались на экране по завершении:
Полученный образ может быть скопирован и использован для будущего изучения с помощью Autopsy или Volatility.
Например, мы можем клонировать полученный ранее криминалистический образ (8gbproduo.dd) на новый диск, распознаваемый как sdc. Команда, используемая для выполнения этой задачи, будет следующей:
1 |
dc3dd if=8gbproduo.dd of=/dev/sdc log=drivecopy.log |
При копировании образа на диск размер целевого диска должен быть равен или больше размера файла образа.
Проверка хэш образа
Для проверки хэш-вывода sdb можно использовать следующую команду:
1 |
sudo sha1sum /dev/sdb |
Вы также можете использовать следующую команду:
1 |
cat 8gbproduo.dd | sha1sum |
Удаление информации диска с помощью DC3DD
Мы видели мощь DC3DD как очень впечатляющего инструмента сбора данных, но я также хотел бы сделать еще один шаг и познакомить вас с его возможностями как инструмента для удаления данных.
DC3DD может стирать данные и стирать диски, перезаписывая данные тремя способами.
Перезапись и заполнение данных и дисков нулями. Используемая команда выглядит следующим образом:
1 |
dc3dd wipe=/dev/sdb |
Перезапись и заполнение данных и дисков с использованием шестнадцатеричного шаблона и опции pat. Используемая команда выглядит следующим образом:
1 |
dc3dd wipe=/dev/sdb pat=10101010 |
Перезапись и заполнение данных и дисков с помощью текстового шаблона и опции tpat. Используемая команда выглядит следующим образом:
1 |
dc3dd wipe=/dev/sdb tpat=CFSI |
Мы рассмотрели использование инструмента dc3dd и различные методы криминалистической очистки носителей.
Теперь давайте рассмотрим другой инструмент под названием DD, который также можно использовать для копирования и удаления данных для судебной экспертизы.
Создание точной копии с помощью DD
Нужно еще раз обратить ваше внимание на одну из особенностей DD — возможность уничтожить данные, разделы и диски. Обязательно перед использовании DD и DC3DD всегда сначала идентифицируйте свои устройства, разделы, входные и выходные файлы и параметры .
Для этого примера я буду использовать старую, но исправную флэш-память емкостью 2 ГБ.
Команды DD очень похожи на команды DC3DD. Для создания точной копии диска, выполните команду:
1 |
dd if=/dev/sdb of=produo8gb.img bs=65536 conv=noerror,sync |
Давайте разберем отдельные параметры в предыдущей команде:
- If — входной файл (устройство sdb)
- Of — выходной файл (название образа)
- Bs — размер блока (размер по умолчанию — 512).
- conv=noerror, sync — продолжить визуализацию даже при наличии ошибок ( noerror), а при наличии ошибок заполнить блоки нулями ( sync).
В предыдущей команде было указано расширение выходного файла .img; но вы можете использовать другой формат, например .iso, указав расширение файла в параметре ( of) выходного файла.
На этом все. Теперь вы знаете, как использовать DC3DD и DD.
Заключение
В следующей статье рассмотрим другой очень популярный инструмент для сбора данных Guymager, который предлагает многие из тех же функций, но в графическом пользовательском интерфейсе (GUI).
ПОЛЕЗНЫЕ ССЫЛКИ:
- Как создать дамп оперативной памяти Windows
- Восстановление файлов с помощью Scalpel на Kali Linux
- Как создать дамп оперативной памяти с помощью FTK Imager