Использование DC3DD в компьютерной криминалистике

DC3DD использование в компьютерной криминалистике

DC3DD разработан отделом Defense Cyber Crime Center. DC3DD — это форк популярного инструмента Data Dump (DD). Далее покажу, как установить и правильно использовать DC3DD в компьютерной криминалистике.

Еще по теме: Извлечение данных Андроид с помощью Andriller

Использование DC3DD в компьютерной криминалистике

Для начала рассмотрим возможности DC3DD:

  • Получение и клонирование диска в битовом (необработанном) виде.
  • Создание копии разделов диска.
  • Копирование папок и файлов.
  • Проверка жесткого диска на ошибки.
  • Безопасное уничижение данных на жестких дисках.
  • Хеширование «на лету» с использованием большего количества алгоритмов (MD5, SHA-1, SHA-256 и SHA-512).
  • Запись ошибок в файл.
  • Разделение выходных файлов.
  • Проверка файлов.

Установка DC3DD на Kali Linux

DC3DD необходимо установить вручную в Kali Linux, но для начала обновите систему:

Обновление Kali Linux для установка DC3DD

Установите DC3DD:

Установка DC3DD Kali Linux

Использование DC3DD на Kali Linux

Запустите и изучите справку:

Параметры использования dc3dd

Простое использование команды DC3DD выглядит следующим образом:

Чтобы создать образ моего 8-гигабайтного диска, я использовал следующие параметры в dc3dd:

Создание копии диска dc3dd

Где:

  • if — указывает входной файл, представляющий собой устройство, которое мы будем формировать.
  • hash — указывает тип алгоритма хеширования, который мы будем использовать для проверки целостности. В этом случае я использовал старый хэш MD5.
  • log — указывает имя файла журнала, в который заносятся сведения об устройстве и сборе данных, включая ошибки.
  • of — указывает имя выходного файла криминалистического образа, созданного DC3DD. Хотя в этом примере был указан тип файла изображения .dd, DC3DD распознает другие форматы, включая .img, как показано в следующем примере.

Следует отметить размер устройства (в секторах и байтах), а затем сравнить его с выходными результатами для поля устройства.

На следующем скрине последняя строка отображает ход и состояние процесса сбора данных, показывая объем скопированных данных, прошедшее время в секундах и скорость.

Создание точной копии диска dc3dd

Чем больше диск или файл, тем больше времени потребуется.

Мы видим, что количество секторов было одинаковое (15 630 336), при этом битые сектора не были заменены нулями. Мы также можем видеть, что для копии был создан хэш SHA1.

Убедимся, что выходной файл DC3DD (8gbproduo.dd) и журнал (dc3dd8gb) созданы:

DC3DD как пользоваться

В домашнем каталоге первый файл 8gbproduo.dd представляет собой выходной образ, созданный DC3DD с помощью команды of=8gbproduo.dd. Последний файл, dc3dd8gb, — это файл журнала, созданный при использовании команды log=dc3dd8gb:

Образ диска и лог файл

Важно сохранить этот лог-файл, чтобы иметь запись о процессе сбора данных и его результатах, которые отображались на экране по завершении:

Содержимое лог-файла DC3DD

Полученный образ может быть скопирован и использован для будущего изучения с помощью Autopsy или Volatility.

Например, мы можем клонировать полученный ранее криминалистический образ (8gbproduo.dd) на новый диск, распознаваемый как sdc. Команда, используемая для выполнения этой задачи, будет следующей:

При копировании образа на диск размер целевого диска должен быть равен или больше размера файла образа.

Проверка хэш образа

Для проверки хэш-вывода sdb можно использовать следующую команду:

Вывод sha1sum

Вы также можете использовать следующую команду:

Вывод cat sha1sum

Удаление информации диска с помощью DC3DD

Мы видели мощь DC3DD как очень впечатляющего инструмента сбора данных, но я также хотел бы сделать еще один шаг и познакомить вас с его возможностями как инструмента для удаления данных.

DC3DD может стирать данные и стирать диски, перезаписывая данные тремя способами.

Перезапись и заполнение данных и дисков нулями. Используемая команда выглядит следующим образом:

Выполнение команды dc3dd wipe

Перезапись и заполнение данных и дисков с использованием шестнадцатеричного шаблона и опции pat. Используемая команда выглядит следующим образом:

Команда dc3dd wipe с выводом шаблона

Перезапись и заполнение данных и дисков с помощью текстового шаблона и опции tpat. Используемая команда выглядит следующим образом:

Команда dc3dd wipe с выводом текстового патерна

Мы рассмотрели использование инструмента dc3dd и различные методы криминалистической очистки носителей.

Теперь давайте рассмотрим другой инструмент под названием DD, который также можно использовать для копирования и удаления данных для судебной экспертизы.

Создание точной копии с помощью DD

Нужно еще раз обратить ваше внимание на одну из особенностей DD — возможность уничтожить данные, разделы и диски. Обязательно перед использовании DD и DC3DD всегда сначала идентифицируйте свои устройства, разделы, входные и выходные файлы и параметры .

Для этого примера я буду использовать старую, но исправную флэш-память емкостью 2 ГБ.

Команды DD очень похожи на команды DC3DD. Для создания точной копии диска, выполните команду:

Сбор данных с помощью dd

Давайте разберем отдельные параметры в предыдущей команде:

  • If — входной файл (устройство sdb)
  • Of — выходной файл (название образа)
  • Bs — размер блока (размер по умолчанию — 512).
  • conv=noerror, sync — продолжить визуализацию даже при наличии ошибок ( noerror), а при наличии ошибок заполнить блоки нулями ( sync).

В предыдущей команде было указано расширение выходного файла .img; но вы можете использовать другой формат, например .iso, указав расширение файла в параметре ( of) выходного файла.

dc3dd как пользоваться

На этом все. Теперь вы знаете, как использовать DC3DD и DD.

Заключение

В следующей статье рассмотрим другой очень популярный инструмент для сбора данных Guymager, который предлагает многие из тех же функций, но в графическом пользовательском интерфейсе (GUI).

ПОЛЕЗНЫЕ ССЫЛКИ:

Ban32

Хакер-самоучка, который может взломать тостер и настроить его на отправку вам утреннего приветствия в коде Морзе.

Добавить комментарий