Automated Image & Restore (AIR)を使用したdd/dcflddイメージの作成

Automated Image & Restoreとは

Automated Image & Restore (AIR)は、dd/dcfldd（Dataset Definition (dd)）コマンドのGUIフロントエンドを提供するオープンソースアプリケーションです。AIRは、法医学的なディスク/パーティションイメージを簡単に作成するために設計されています。MD5/SHAxハッシュ、SCSIテープドライブ、TCP/IPネットワーク経由のイメージング、イメージの分割、詳細なセッションログをサポートしています。これまでのところ、AIRユーティリティはLinuxディストリビューションでの使用のためにのみ開発されています。最もシンプルな形では、AIRはddコマンドセットを実行するための便利なインターフェースを提供します。シェルターミナルでの「ファットフィンガリング」によるエラーのリスクを排除し、ddコマンドの使用をあまり経験のない人にとってよりユーザーフレンドリーにします。AIRフロントエンドを使用するには、dd（またはdcfldd）コマンドの動作についての基本的な知識が必要です。

ddコマンドはかなり長い間存在しています。Unix/Linuxコミュニティ全体でよく知られており、文書化も充実しており、想像するに広く使用されています。ddイメージは、ソースデバイスまたはファイルのビット単位のイメージです。ddの用途は、システムバックアップや復元イメージの作成・維持から、証拠を法医学的にイメージングしてラボに戻し、検査することまで多岐にわたります。

このチュートリアルは、ddコマンドの使用を教えるためのものではありません。これは十分に文書化されており、簡単なインターネット検索で多数の結果が得られます。代わりに、このミニ「ハウツー」の目的は、ユーザーにAIRフロントエンドアプリケーションを紹介し、ユーティリティの全体的な認知度を高め、ツールを使用してddイメージを作成する簡単な例を提供することです。

免責事項: 私はddまたはAutomated Image & Restoreの使用に関して専門家であるとは主張しません。

AIRのセットアップ

最初に行うべきことは、AIRアプリケーションの最新バージョンをダウンロードしてインストールすることです。AIRアプリケーションは、www.sourceforge.net/projects/air-imagerからダウンロードできます。

ファイルをシステムにダウンロードしたら、解凍し、抽出してアプリケーションをインストールします。[この例では、.tar.gzパッケージをダウンロードし、この特定のファイルタイプに関連するコマンドを表示します]

– ルートシェルにいることを確認してください

sudo -s

– 現在のディレクトリを確認して、ダウンロードしたパッケージにアクセスするための正しい場所にいることを確認します

pwd

– AIRファイルを解凍して抽出します（”untar”）

tar -zxvf /path/air-1.2.8.tar.gz

– 必要に応じて、README.txtファイルを読む良いタイミングです

– AIRディレクトリに移動します

cd /path/air-1.2.8

– インストールスクリプトを実行します

./install-air-1.2.8

AIR GUI

AIRはすべてのLinuxディストリビューションで動作するわけではないことに注意してください。sourceforge.netのプロジェクト情報およびREADME.txtファイルを参照して、既知のサポートされているディストリビューションのリストを確認してください - 私はそのリストに含まれていないUbuntuを使用しています。UbuntuでもAIRを実行できますが、一部の機能は利用できません。アプリケーションを正常にダウンロードしてインストールしたら、ターミナルで「air」と入力してルートシェルでAIRを実行します。AIRは一連のチェックを実行し、GUIが自動的に起動します。

AIR GUIに慣れるために少し時間を取ってください。ボタンやオプションが、ターミナルで使用できるさまざまなddコマンドにどのように関連しているかに注意してください。

AIRを使用したddイメージの作成

この演習では、ルートフォルダ内の.jpgファイルのddイメージを作成し、それをCD-ROMにコピーします。AIRは、イメージを作成しCD-ROMにコピーするためのコマンドを裏で実行します。（実際のシナリオでは、この.jpgは侵害されたハードドライブや他の証拠を表す可能性があります）。

まず、イメージを作成したいソースデバイスまたはファイルを選択します。これは特定のドライブ/パーティション、.jpgなどのファイル、フォルダ、またはコンピュータ上の他のアイテムのいずれかです。元のファイルである/root/ectf.jpgを選択します。

次に、イメージをコピーしたい宛先デバイス/ファイルを選択します。CD/DVDドライブを表す/dev/hdcを選択します。

[ソースおよび宛先デバイス/ファイルの選択は、いくつかの異なる方法で行うことができます：

A. ツールバーのドロップダウンリストからソース/宛先を選択 - サポートされていないLinuxディストリビューションを使用している場合は利用できない場合があります
B. フォルダボタンをクリックしてシステム上のフォルダをブラウズ
C. アプリケーションの下部にある「接続されたデバイス」ボタンをクリックして、ソースまたは宛先として設定
D. ソース/宛先ウィンドウに既知のパスを入力]

ソースと宛先を特定した後、ソースおよび宛先デバイス/ファイルの希望のブロックサイズを選択します。これらが一致することをお勧めします。このステップでは、ソースデバイス/ファイルに関する知識とブロックサイズの理解が必要です。[ブロックサイズに関する一般的な情報は、ウェブ検索を通じて見つけることができます]。

最後に、イメージを調整するためのいくつかのオプションが表示されます。ここでは、デバイス/ファイルの圧縮、ハッシュメソッド、およびイメージ後にハッシュを検証するかどうかを選択できます。

この時点で、ddイメージを作成するために必要なすべての条件を特定しました。「開始」をクリックして、AIRに残りを行わせます。「ステータスウィンドウを表示」をクリックして、AIRがバックグラウンドで実行しているコマンドを表示します。ステータスウィンドウには、詳細なログの概要が表示されます。ここでデータ転送のステータスとハッシュ検証の結果を確認できます。

図11

重要: ハッシュ値は、ソースデバイス/ファイルの正確なddイメージを確保するために同一でなければなりません。

おめでとうございます！Automated Image & Restore GUIフロントエンドアプリケーションを使用してddイメージを作成しました。