Creando una imagen dd/dcfldd usando Automated Image & Restore (AIR)

Qué es Automated Image & Restore

Automated Image & Restore (AIR) es una aplicación de código abierto que proporciona una interfaz gráfica de usuario (GUI) para el comando dd/dcfldd (Dataset Definition (dd)). AIR está diseñado para crear fácilmente imágenes forenses de discos/particiones. Soporta hashes MD5/SHAx, unidades de cinta SCSI, creación de imágenes a través de una red TCP/IP, división de imágenes y registro detallado de sesiones. Hasta la fecha, la utilidad AIR solo se ha desarrollado para su uso en distribuciones de Linux. En su forma más simple, AIR proporciona una interfaz conveniente para ejecutar el conjunto de comandos dd. Elimina el riesgo de cometer un error al escribir en la terminal y, en última instancia, hace que el uso del comando dd sea más amigable para aquellos que no son tan experimentados. Tenga en cuenta que usar la interfaz de AIR aún requiere algunos conocimientos básicos sobre cómo funcionan los comandos dd (o dcfldd).

El comando dd ha existido durante bastante tiempo. Es bien conocido en la comunidad Unix/Linux, está bien documentado y, como solo puedo imaginar, se utiliza extensamente. Una imagen dd es una imagen bit a bit de un dispositivo o archivo fuente. Los usos de dd van desde crear y mantener copias de seguridad del sistema y imágenes de restauración hasta la aplicación forense de la creación de imágenes de evidencia que serán devueltas al laboratorio y examinadas.

Este tutorial no está diseñado para enseñar el uso del comando dd; esto está bien documentado y una simple búsqueda en internet dará lugar a una plétora de resultados. En cambio, la intención de este mini “cómo hacer” es presentar a los usuarios la aplicación de interfaz de AIR, aumentar la conciencia general sobre la utilidad y proporcionar un breve ejemplo de cómo crear una imagen dd usando esta herramienta.

DESCARGO DE RESPONSABILIDAD: No pretendo ser un experto en el uso de dd o Automated Image & Restore.

Configurando AIR

Lo primero que querrá hacer es descargar e instalar la última versión de la aplicación AIR. La aplicación AIR está disponible para descargar en www.sourceforge.net/projects/air-imager.

Una vez que haya descargado los archivos a su sistema, descomprima, extraiga e instale la aplicación. [En este ejemplo, he descargado el paquete .tar.gz y mostraré los comandos relacionados con este tipo de archivo en particular]

– Asegúrese de estar en una terminal de root

sudo -s

– Verifique su directorio actual para asegurarse de que está en la ubicación correcta para acceder al paquete que descargó

pwd

– Descomprima y extraiga (“untar”) los archivos de AIR

tar -zxvf /path/air-1.2.8.tar.gz

– Si lo desea, este es un buen momento para leer el archivo README.txt

– Cambie a su directorio de AIR

cd /path/air-1.2.8

– Ejecute el script de instalación

./install-air-1.2.8

La GUI de AIR

Tenga en cuenta que AIR no funciona en todas las distribuciones de Linux. Consulte la información del proyecto en sourceforge.net y el archivo README.txt para obtener una lista de las distribuciones conocidas compatibles; estoy usando Ubuntu, que no está en la lista. Ubuntu aún puede ejecutar AIR, sin embargo, algunas funcionalidades no están disponibles. Ahora que ha descargado e instalado la aplicación con éxito, ejecute AIR en la terminal de root escribiendo “air” en la terminal. AIR realizará una serie de verificaciones y la GUI se lanzará automáticamente.

Tómese un momento para familiarizarse con la GUI de AIR. Observe cómo los botones y opciones se relacionan con varios comandos dd que se pueden usar en la terminal.

FIGURA 1

Creando una imagen dd usando AIR

Para este ejercicio, crearemos una imagen dd de un .jpg en la carpeta raíz y la copiaremos a un CD-ROM. AIR ejecutará los comandos en segundo plano que crearán la imagen y la copiarán al CD-ROM. (En un escenario real, este .jpg podría representar fácilmente un disco duro comprometido u otra pieza de evidencia).

Primero, seleccione el dispositivo o archivo fuente que le gustaría crear una imagen. Esto puede ser un disco/partición particular, un archivo como un .jpg, una carpeta o cualquier número de otros elementos en una computadora. Seleccionaremos /root/ectf.jpg, que es el archivo original.

A continuación, seleccione el dispositivo/archivo de destino donde le gustaría que se copiara la imagen. Elegiremos /dev/hdc, que representa la unidad de CD/DVD.

[Nota, seleccionar los dispositivos/archivos fuente y de destino se puede hacer de varias maneras:

A. Elegir fuente/destino de la lista desplegable en la barra de herramientas - puede que no esté disponible si se usa una distribución de Linux no soportada
B. Haga clic en el botón de carpeta para explorar carpetas en su sistema
C. Haga clic en el botón de “Dispositivos Conectados” deseado en la parte inferior de la aplicación y configúrelo como fuente o destino
D. Escriba la ruta conocida en la ventana de fuente/destino]

Después de identificar la fuente y el destino, elija el tamaño de bloque deseado de sus dispositivos/archivos fuente y de destino. Se recomienda que estos coincidan. Este paso requiere algo de conocimiento sobre su dispositivo/archivo fuente y una comprensión de los tamaños de bloque. [La información general sobre tamaños de bloque se puede encontrar a través de una búsqueda en la web].

Por último, se le presentan algunas opciones para personalizar su imagen. Aquí tiene la capacidad de elegir la compresión de dispositivo/archivo, el método de hash y si desea o no verificar los hashes después de la imagen.

En este punto, ha identificado todos los criterios necesarios para crear su imagen dd. Haga clic en “Iniciar” y deje que AIR haga el resto. Haga clic en “Mostrar ventana de estado” para ver los comandos que AIR está ejecutando en segundo plano. La ventana de estado mostrará un resumen detallado del registro. Aquí puede ver el estado de la transferencia de datos y los resultados de verificación de hash.

FIGURA 11

IMPORTANTE: Los valores de hash DEBEN ser idénticos para asegurar que tiene una imagen dd exacta del dispositivo/archivo fuente.

¡Felicidades! Acaba de crear una imagen dd usando la aplicación de interfaz gráfica de Automated Image & Restore.