Erstellen eines dd/dcfldd-Images mit Automated Image & Restore (AIR)

Was ist Automated Image & Restore

Automated Image & Restore (AIR) ist eine Open-Source-Anwendung, die eine GUI-Oberfläche für den dd/dcfldd (Dataset Definition (dd))-Befehl bereitstellt. AIR wurde entwickelt, um forensische Festplatten-/Partition-Images einfach zu erstellen. Es unterstützt MD5/SHAx-Hashes, SCSI-Bandlaufwerke, Imaging über ein TCP/IP-Netzwerk, das Aufteilen von Images und detaillierte Sitzungsprotokollierung. Bis heute wurde das AIR-Tool nur für die Verwendung auf Linux-Distributionen entwickelt. In seiner einfachsten Form bietet AIR eine bequeme Schnittstelle zur Ausführung des dd-Befehls. Es beseitigt das Risiko, einen Fehler im Shell-Terminal zu machen, und macht die Verwendung des dd-Befehls letztendlich benutzerfreundlicher für weniger erfahrene Benutzer. Bitte beachten Sie, dass die Verwendung der AIR-Oberfläche dennoch einige Grundkenntnisse darüber erfordert, wie die dd- (oder dcfldd)-Befehle funktionieren.

Der dd-Befehl gibt es schon seit einiger Zeit. Er ist in der Unix/Linux-Community gut bekannt, gut dokumentiert und, wie ich mir nur vorstellen kann, weit verbreitet. Ein dd-Image ist ein bitgenaues Abbild eines Quellgeräts oder einer Datei. Die Verwendung von dd reicht von der Erstellung und Pflege von System-Backups und Wiederherstellungs-Images bis hin zur forensischen Anwendung des Imaging von Beweismitteln, die ins Labor zurückgebracht und untersucht werden.

Dieses Tutorial ist nicht dazu gedacht, die Verwendung des dd-Befehls zu lehren; dies ist gut dokumentiert und eine einfache Internetsuche wird eine Fülle von Ergebnissen liefern. Stattdessen ist es das Ziel dieses Mini-“How-to”, die Benutzer mit der AIR-Oberfläche vertraut zu machen, das allgemeine Bewusstsein für das Tool zu erhöhen und ein kurzes Beispiel für die Erstellung eines dd-Images mit diesem Tool bereitzustellen.

HAFTUNGSAUSSCHLUSS: Ich behaupte nicht, ein Experte in der Verwendung von dd oder Automated Image & Restore zu sein.

Einrichtung von AIR

Das erste, was Sie tun möchten, ist, die neueste Version der AIR-Anwendung herunterzuladen und zu installieren. Die AIR-Anwendung ist unter www.sourceforge.net/projects/air-imager zum Download verfügbar.

Sobald Sie die Dateien auf Ihr System heruntergeladen haben, dekomprimieren, extrahieren und installieren Sie die Anwendung. [In diesem Beispiel habe ich das .tar.gz-Paket heruntergeladen und werde die Befehle anzeigen, die sich auf diesen speziellen Dateityp beziehen]

– Stellen Sie sicher, dass Sie sich in einer Root-Shell befinden

sudo -s

– Überprüfen Sie Ihr aktuelles Verzeichnis, um sicherzustellen, dass Sie sich am richtigen Ort befinden, um auf das heruntergeladene Paket zuzugreifen

pwd

– Dekomprimieren und extrahieren Sie die AIR-Dateien

tar -zxvf /path/air-1.2.8.tar.gz

– Wenn Sie möchten, ist dies ein guter Zeitpunkt, um die README.txt-Datei zu lesen

– Wechseln Sie in Ihr AIR-Verzeichnis

cd /path/air-1.2.8

– Führen Sie das Installationsskript aus

./install-air-1.2.8

Die AIR-GUI

Beachten Sie, dass AIR nicht auf allen Linux-Distributionen funktioniert. Verweisen Sie auf die Projektinformationen auf sourceforge.net und die README.txt-Datei für eine Liste der bekannten unterstützten Distributionen - ich verwende Ubuntu, das nicht auf der Liste steht. Ubuntu kann AIR jedoch weiterhin ausführen, einige Funktionen sind jedoch nicht verfügbar. Jetzt, da Sie die Anwendung erfolgreich heruntergeladen und installiert haben, führen Sie AIR in der Root-Shell aus, indem Sie “air” im Terminal eingeben. AIR führt eine Reihe von Überprüfungen durch und die GUI wird automatisch gestartet.

Nehmen Sie sich einen Moment Zeit, um sich mit der AIR-GUI vertraut zu machen. Beachten Sie, wie die Schaltflächen und Optionen mit verschiedenen dd-Befehlen in Verbindung stehen, die im Terminal verwendet werden können.

ABBILDUNG 1

Erstellen eines dd-Images mit AIR

Für diese Übung werden wir ein dd-Image einer .jpg im Root-Ordner erstellen und es auf eine CD-ROM kopieren. AIR wird die Befehle im Hintergrund ausführen, die das Image erstellen und es auf die CD-ROM kopieren. (In einem realen Szenario könnte dieses .jpg sehr leicht eine kompromittierte Festplatte oder ein anderes Beweisstück darstellen).

Zuerst wählen Sie das Quellgerät oder die Datei aus, die Sie abbilden möchten. Dies kann ein bestimmtes Laufwerk/Partition, eine Datei wie eine .jpg, ein Ordner oder eine beliebige Anzahl anderer Elemente auf einem Computer sein. Wir wählen /root/ectf.jpg, das die Originaldatei ist.

Als Nächstes wählen Sie das Zielgerät/-datei aus, auf das/die Sie das Image kopieren möchten. Wir wählen /dev/hdc, das das CD/DVD-Laufwerk darstellt.

[Hinweis: Die Auswahl der Quell- und Zielgeräte/-dateien kann auf verschiedene Arten erfolgen:

A. Wählen Sie die Quelle/das Ziel aus der Dropdown-Liste in der Symbolleiste - möglicherweise nicht verfügbar, wenn Sie eine nicht unterstützte Linux-Distribution verwenden
B. Klicken Sie auf die Ordnerschaltfläche, um Ordner auf Ihrem System zu durchsuchen
C. Klicken Sie auf die gewünschte Schaltfläche “Verbundenen Geräte” am unteren Rand der Anwendung und setzen Sie sie als Quelle oder Ziel
D. Geben Sie den bekannten Pfad im Quell-/Zielfenster ein]

Nachdem Sie die Quelle und das Ziel identifiziert haben, wählen Sie die gewünschte Blockgröße Ihrer Quell- und Zielgeräte/-dateien aus. Es wird empfohlen, dass diese übereinstimmen. Dieser Schritt erfordert einige Kenntnisse über Ihr Quellgerät/-datei und ein Verständnis der Blockgrößen. [Allgemeine Informationen zu Blockgrößen finden Sie durch eine Websuche].

Zuletzt werden Ihnen einige Optionen präsentiert, um Ihr Image anzupassen. Hier haben Sie die Möglichkeit, die Kompression des Geräts/der Datei, die Hash-Methode und ob Sie die Hashes nach dem Image überprüfen möchten, auszuwählen.

An diesem Punkt haben Sie alle notwendigen Kriterien identifiziert, um Ihr dd-Image zu erstellen. Klicken Sie auf “Start” und lassen Sie AIR den Rest erledigen. Klicken Sie auf “Statusfenster anzeigen”, um die Befehle anzuzeigen, die AIR im Hintergrund ausführt. Das Statusfenster zeigt eine detaillierte Protokollzusammenfassung an. Hier können Sie den Status der Datenübertragung und die Ergebnisse der Hash-Überprüfung einsehen.

ABBILDUNG 11

WICHTIG: Die Hash-Werte MÜSSEN identisch sein, um sicherzustellen, dass Sie ein genaues dd-Image des Quellgeräts/-datei haben.

Herzlichen Glückwunsch! Sie haben gerade ein dd-Image mit der GUI-Oberfläche der Automated Image & Restore-Anwendung erstellt.