Créer une image dd/dcfldd en utilisant Automated Image & Restore (AIR)

Qu’est-ce qu’Automated Image & Restore

Automated Image & Restore (AIR) est une application open source qui fournit une interface graphique pour la commande dd/dcfldd (Dataset Definition (dd)). AIR est conçu pour créer facilement des images de disque/partition forensic. Il prend en charge les hachages MD5/SHAx, les lecteurs de bande SCSI, l’imagerie sur un réseau TCP/IP, le fractionnement des images et la journalisation détaillée des sessions. À ce jour, l’utilitaire AIR n’a été développé que pour une utilisation sur des distributions Linux. Dans sa forme la plus simple, AIR fournit une interface pratique pour exécuter l’ensemble des commandes dd. Il élimine le risque de faire une erreur en tapant dans le terminal shell et rend finalement l’utilisation de la commande dd plus conviviale pour ceux qui ne sont pas aussi expérimentés. Veuillez noter que l’utilisation de l’interface AIR nécessite tout de même quelques connaissances de base sur le fonctionnement des commandes dd (ou dcfldd).

La commande dd existe depuis un certain temps. Elle est bien connue dans la communauté Unix/Linux, bien documentée et, je ne peux qu’imaginer, largement utilisée. Une image dd est une image bit à bit d’un périphérique ou d’un fichier source. Les utilisations de dd vont de la création et de la maintenance de sauvegardes système et d’images de restauration à l’application forensic de l’imagerie des preuves qui seront renvoyées au laboratoire et examinées.

Ce tutoriel n’est pas conçu pour enseigner l’utilisation de la commande dd ; cela est bien documenté et une simple recherche sur Internet donnera une pléthore de résultats. Au lieu de cela, l’intention de ce mini “comment faire” est d’introduire les utilisateurs à l’application front end AIR, d’augmenter la sensibilisation globale à l’utilitaire et de fournir un bref exemple de création d’une image dd en utilisant cet outil.

DISCLAIMER : Je ne prétends pas être un expert dans l’utilisation de dd ou d’Automated Image & Restore.

Configuration d’AIR

La première chose que vous voudrez faire est de télécharger et d’installer la dernière version de l’application AIR. L’application AIR est disponible en téléchargement sur www.sourceforge.net/projects/air-imager.

Une fois que vous avez téléchargé les fichiers sur votre système, décompressez, extrayez et installez l’application. [Dans cet exemple, j’ai téléchargé le package .tar.gz et afficherai les commandes liées à ce type de fichier particulier]

– Assurez-vous d’être dans un shell root

sudo -s

– Vérifiez votre répertoire actuel pour vous assurer que vous êtes au bon endroit pour accéder au package que vous avez téléchargé

pwd

– Décompressez et extrayez (“untar”) les fichiers AIR

tar -zxvf /path/air-1.2.8.tar.gz

– Si vous le souhaitez, c’est le bon moment pour lire le fichier README.txt

– Passez à votre répertoire AIR

cd /path/air-1.2.8

– Exécutez le script d’installation

./install-air-1.2.8

L’interface graphique AIR

Notez qu’AIR ne fonctionne pas sur toutes les distributions Linux. Consultez les informations du projet sur sourceforge.net et le fichier README.txt pour une liste des distributions prises en charge - j’utilise Ubuntu qui ne figure pas sur la liste. Ubuntu peut toujours exécuter AIR, cependant, certaines fonctionnalités ne sont pas disponibles. Maintenant que vous avez téléchargé et installé l’application avec succès, exécutez AIR dans le shell root en tapant “air” dans le terminal. AIR effectuera une série de vérifications et l’interface graphique se lancera automatiquement.

Prenez un moment pour vous familiariser avec l’interface graphique AIR. Notez comment les boutons et les options se rapportent à diverses commandes dd qui peuvent être utilisées dans le terminal.

Création d’une image dd en utilisant AIR

Pour cet exercice, nous allons créer une image dd d’un .jpg dans le dossier racine et la copier sur un CD-ROM. AIR exécutera les commandes en arrière-plan qui créeront l’image et la copieront sur le CD-ROM. (Dans un scénario réel, ce .jpg pourrait très facilement représenter un disque dur compromis ou un autre élément de preuve).

Tout d’abord, sélectionnez le périphérique ou le fichier source que vous souhaitez imaginer. Cela peut être un lecteur/partition particulier, un fichier tel qu’un .jpg, un dossier ou tout autre élément sur un ordinateur. Nous allons sélectionner /root/ectf.jpg qui est le fichier original.

Ensuite, sélectionnez le périphérique/fichier de destination où vous souhaitez que l’image soit copiée. Nous choisirons /dev/hdc qui représente le lecteur CD/DVD.

[Notez que la sélection des périphériques/fichiers source et de destination peut se faire de plusieurs manières :

A. Choisissez la source/destination dans la liste déroulante dans la barre d’outils - peut ne pas être disponible si vous utilisez une distribution Linux non prise en charge
B. Cliquez sur le bouton de dossier pour parcourir les dossiers de votre système
C. Cliquez sur le bouton “Appareils connectés” souhaité en bas de l’application et définissez comme source ou destination
D. Tapez le chemin connu dans la fenêtre source/destination]

Après avoir identifié la source et la destination, choisissez la taille de bloc souhaitée de vos périphériques/fichiers source et de destination. Il est recommandé que ceux-ci correspondent. Cette étape nécessite une certaine connaissance de votre périphérique/fichier source et une compréhension des tailles de bloc. [Des informations générales sur les tailles de bloc peuvent être trouvées par recherche sur le web].

Enfin, vous vous voyez présenter quelques options pour personnaliser votre image. Ici, vous avez la possibilité de choisir la compression du périphérique/fichier, la méthode de hachage et si vous souhaitez ou non vérifier les hachages après l’image.

À ce stade, vous avez identifié tous les critères nécessaires pour créer votre image dd. Cliquez sur “Démarrer” et laissez AIR faire le reste. Cliquez sur “Afficher la fenêtre d’état” pour voir les commandes qu’AIR exécute en arrière-plan. La fenêtre d’état affichera un résumé détaillé de la journalisation. C’est ici que vous pouvez voir l’état du transfert de données et les résultats de vérification des hachages.

IMPORTANT : Les valeurs de hachage DOIVENT être identiques pour garantir que vous avez une image dd exacte du périphérique/fichier source.

Félicitations ! Vous venez de créer une image dd en utilisant l’application front end GUI d’Automated Image & Restore.