Creazione di un'immagine dd/dcfldd utilizzando Automated Image & Restore (AIR)

Creazione di un’immagine dd/dcfldd utilizzando Automated Image & Restore (AIR)

Che cos’è Automated Image & Restore

Automated Image & Restore (AIR) è un’applicazione open source che fornisce un’interfaccia GUI per il comando dd/dcfldd (Dataset Definition (dd)). AIR è progettato per creare facilmente immagini forensi di dischi/partizioni. Supporta hash MD5/SHAx, unità nastro SCSI, imaging su una rete TCP/IP, suddivisione delle immagini e registrazione dettagliata delle sessioni. Fino ad oggi, l’utilità AIR è stata sviluppata solo per l’uso su distribuzioni Linux. Nella sua forma più semplice, AIR fornisce un’interfaccia conveniente per eseguire il set di comandi dd. Elimina il rischio di commettere errori nel terminale della shell e rende l’uso del comando dd più user-friendly per coloro che non sono esperti. Si prega di notare che l’uso dell’interfaccia AIR richiede comunque alcune conoscenze di base su come funzionano i comandi dd (o dcfldd).

Il comando dd è in circolazione da un po’ di tempo. È ben noto nella comunità Unix/Linux, ben documentato e, come posso solo immaginare, ampiamente utilizzato. Un’immagine dd è un’immagine bit per bit di un dispositivo o file sorgente. Gli usi di dd vanno dalla creazione e manutenzione di backup di sistema e immagini di ripristino all’applicazione forense di imaging delle prove che verranno restituite al laboratorio e esaminate.

Questo tutorial non è progettato per insegnare l’uso del comando dd; questo è ben documentato e una semplice ricerca su Internet fornirà una miriade di risultati. Invece, l’intento di questo mini “come fare” è introdurre gli utenti all’applicazione front end AIR, aumentare la consapevolezza generale dell’utilità e fornire un breve esempio di creazione di un’immagine dd utilizzando questo strumento.

DISCLAIMER: Non pretendo di essere esperto nell’uso di dd o Automated Image & Restore.

Configurazione di AIR

La prima cosa che vorrai fare è scaricare e installare l’ultima versione dell’applicazione AIR. L’applicazione AIR è disponibile per il download su www.sourceforge.net/projects/air-imager.

Una volta scaricati i file sul tuo sistema, decomprimi, estrai e installa l’applicazione. [In questo esempio, ho scaricato il pacchetto .tar.gz e mostrerò i comandi relativi a questo particolare tipo di file]

– Assicurati di essere in una shell root

sudo -s

– Controlla la tua directory attuale per assicurarti di essere nella posizione giusta per accedere al pacchetto che hai scaricato

pwd

– Decomprimi ed estrai (“untar”) i file AIR

tar -zxvf /path/air-1.2.8.tar.gz

– Se lo desideri, questo è un buon momento per leggere il file README.txt

– Passa alla tua directory AIR

cd /path/air-1.2.8

– Esegui lo script di installazione

./install-air-1.2.8

L’interfaccia grafica di AIR

Nota che AIR non funziona su tutte le distribuzioni Linux. Fai riferimento alle informazioni sul progetto su sourceforge.net e al file README.txt per un elenco delle distribuzioni supportate note - sto usando Ubuntu che non è tra l’elenco. Ubuntu può comunque eseguire AIR, tuttavia, alcune funzionalità non sono disponibili. Ora che hai scaricato e installato con successo l’applicazione, esegui AIR nella shell root digitando “air” nel terminale. AIR eseguirà una serie di controlli e l’interfaccia grafica si avvierà automaticamente.

Prenditi un momento per familiarizzare con l’interfaccia grafica di AIR. Nota come i pulsanti e le opzioni si riferiscono ai vari comandi dd che possono essere utilizzati nel terminale.

Creazione di un’immagine dd utilizzando AIR

Per questo esercizio, creeremo un’immagine dd di un .jpg nella cartella root e la copieremo su un CD-ROM. AIR eseguirà i comandi in background che creeranno l’immagine e la copieranno sul CD-ROM. (In uno scenario reale, questo .jpg potrebbe facilmente rappresentare un disco rigido compromesso o un altro pezzo di prova).

Prima di tutto, seleziona il dispositivo o il file sorgente che desideri immaginare. Questo può essere un’unità/partizione particolare, un file come un .jpg, una cartella o qualsiasi altro elemento su un computer. Selezioneremo /root/ectf.jpg che è il file originale.

Successivamente, seleziona il dispositivo/file di destinazione dove desideri che l’immagine venga copiata. Sceglieremo /dev/hdc che rappresenta l’unità CD/DVD.

[Nota, la selezione dei dispositivi/file sorgente e di destinazione può essere effettuata in diversi modi:

A. Scegli sorgente/destinazione dall’elenco a discesa nella barra degli strumenti - potrebbe non essere disponibile se si utilizza una distribuzione Linux non supportata
B. Fai clic sul pulsante della cartella per sfogliare le cartelle sul tuo sistema
C. Fai clic sul pulsante “Dispositivi Connessi” desiderato nella parte inferiore dell’applicazione e impostalo come sorgente o destinazione
D. Digita il percorso conosciuto nella finestra sorgente/destinazione]

Dopo aver identificato la sorgente e la destinazione, scegli la dimensione del blocco desiderata dei tuoi dispositivi/file sorgente e di destinazione. Si raccomanda che queste corrispondano. Questo passaggio richiede alcune conoscenze del tuo dispositivo/file sorgente e una comprensione delle dimensioni dei blocchi. [Informazioni generali sulle dimensioni dei blocchi possono essere trovate tramite ricerca web].

Infine, ti vengono presentate alcune opzioni per personalizzare la tua immagine. Qui hai la possibilità di scegliere la compressione del dispositivo/file, il metodo di hash e se desideri o meno verificare gli hash dopo l’immagine.

A questo punto, hai identificato tutti i criteri necessari per creare la tua immagine dd. Fai clic su “Inizia” e lascia che AIR faccia il resto. Fai clic su “Mostra finestra di stato” per visualizzare i comandi che AIR sta eseguendo in background. La finestra di stato mostrerà un riepilogo dettagliato della registrazione. Qui puoi visualizzare lo stato del trasferimento dei dati e i risultati della verifica degli hash.

IMPORTANTE: I valori hash DEVONO essere identici per garantire di avere un’immagine dd esatta del dispositivo/file sorgente.

Congratulazioni! Hai appena creato un’immagine dd utilizzando l’applicazione front end GUI di Automated Image & Restore.