자동화된 이미지 및 복원(AIR)을 사용하여 dd/dcfldd 이미지 만들기

자동화된 이미지 및 복원(AIR)을 사용하여 dd/dcfldd 이미지 만들기

자동화된 이미지 및 복원(AIR)란?

자동화된 이미지 및 복원(AIR)은 dd/dcfldd(데이터 세트 정의(dd)) 명령에 대한 GUI 프론트 엔드를 제공하는 오픈 소스 애플리케이션입니다. AIR는 포렌식 디스크/파티션 이미지를 쉽게 생성하도록 설계되었습니다. MD5/SHAx 해시, SCSI 테이프 드라이브, TCP/IP 네트워크를 통한 이미징, 이미지 분할 및 상세 세션 로깅을 지원합니다. 현재까지 AIR 유틸리티는 리눅스 배포판에서만 사용하도록 개발되었습니다. 가장 간단한 형태로 AIR는 dd 명령 세트를 실행하기 위한 편리한 인터페이스를 제공합니다. 이는 셸 터미널에서 오류를 입력할 위험을 제거하고, 경험이 적은 사용자에게 dd 명령을 보다 사용자 친화적으로 만듭니다. AIR 프론트 엔드를 사용하려면 dd(또는 dcfldd) 명령이 작동하는 방식에 대한 기본 지식이 여전히 필요합니다.

dd 명령은 꽤 오랫동안 존재해 왔습니다. 이는 유닉스/리눅스 커뮤니티에서 잘 알려져 있으며, 잘 문서화되어 있고, 제가 상상할 수 있는 한 광범위하게 사용됩니다. dd 이미지는 소스 장치 또는 파일의 비트 단위 이미지입니다. dd의 용도는 시스템 백업 및 복원 이미지 생성 및 유지 관리에서부터 실험실로 반환되어 검토될 증거 이미징의 포렌식 응용에 이르기까지 다양합니다.

이 튜토리얼은 dd 명령 사용법을 가르치기 위해 설계된 것이 아닙니다. 이는 잘 문서화되어 있으며 간단한 인터넷 검색을 통해 많은 결과를 얻을 수 있습니다. 대신, 이 미니 “사용법”의 목적은 사용자에게 AIR 프론트 엔드 애플리케이션을 소개하고, 유틸리티에 대한 전반적인 인식을 높이며, 이 도구를 사용하여 dd 이미지를 생성하는 간단한 예를 제공하는 것입니다.

면책 조항: 저는 dd 또는 자동화된 이미지 및 복원 사용에 대한 전문가라고 주장하지 않습니다.

AIR 설정하기

가장 먼저 해야 할 일은 AIR 애플리케이션의 최신 버전을 다운로드하고 설치하는 것입니다. AIR 애플리케이션은 www.sourceforge.net/projects/air-imager에서 다운로드할 수 있습니다.

파일을 시스템에 다운로드한 후, 압축을 풀고, 추출하고, 애플리케이션을 설치합니다. [이 예에서는 .tar.gz 패키지를 다운로드했으며, 이 특정 파일 유형과 관련된 명령을 표시할 것입니다]

– 루트 셸에 있는지 확인하세요

sudo -s

– 현재 디렉토리를 확인하여 다운로드한 패키지에 접근할 수 있는 올바른 위치에 있는지 확인하세요

pwd

– AIR 파일의 압축을 풀고 추출합니다(“untar”)

tar -zxvf /path/air-1.2.8.tar.gz

– 원하신다면, 이 시점에서 README.txt 파일을 읽는 것이 좋습니다.

– AIR 디렉토리로 이동합니다

cd /path/air-1.2.8

– 설치 스크립트를 실행합니다

./install-air-1.2.8

AIR GUI

AIR는 모든 리눅스 배포판에서 작동하지 않는다는 점에 유의하세요. 지원되는 배포판 목록은 sourceforge.net의 프로젝트 정보 및 README.txt 파일을 참조하세요 - 저는 목록에 없는 우분투를 사용하고 있습니다. 우분투에서도 AIR를 실행할 수 있지만, 일부 기능은 사용할 수 없습니다. 애플리케이션을 성공적으로 다운로드하고 설치한 후, 터미널에 “air”를 입력하여 루트 셸에서 AIR를 실행하세요. AIR는 일련의 검사를 수행하고 GUI가 자동으로 시작됩니다.

AIR GUI에 익숙해질 시간을 가지세요. 버튼과 옵션이 터미널에서 사용할 수 있는 다양한 dd 명령과 어떻게 관련되는지 주목하세요.

AIR를 사용하여 dd 이미지 만들기

이번 연습에서는 루트 폴더에 있는 .jpg의 dd 이미지를 만들고 이를 CD-ROM에 복사할 것입니다. AIR는 이미지를 생성하고 CD-ROM에 복사하는 명령을 백그라운드에서 실행합니다. (실제 시나리오에서는 이 .jpg가 손상된 하드 드라이브나 다른 증거를 나타낼 수 있습니다).

먼저 이미지를 만들고 싶은 소스 장치 또는 파일을 선택합니다. 이는 특정 드라이브/파티션, .jpg와 같은 파일, 폴더 또는 컴퓨터의 여러 항목이 될 수 있습니다. 우리는 원본 파일인 /root/ectf.jpg를 선택할 것입니다.

다음으로 이미지를 복사할 대상 장치/파일을 선택합니다. 우리는 CD/DVD 드라이브를 나타내는 /dev/hdc를 선택할 것입니다.

[소스 및 대상 장치/파일 선택은 몇 가지 방법으로 수행할 수 있습니다:

A. 도구 모음의 드롭다운 목록에서 소스/대상을 선택합니다 - 지원되지 않는 리눅스 배포판을 사용하는 경우 사용할 수 없을 수 있습니다.
B. 폴더 버튼을 클릭하여 시스템의 폴더를 탐색합니다.
C. 애플리케이션 하단의 원하는 “연결된 장치“ 버튼을 클릭하고 소스 또는 대상으로 설정합니다.
D. 소스/대상 창에 알려진 경로를 입력합니다.]

소스와 대상을 식별한 후, 소스 및 대상 장치/파일의 원하는 블록 크기를 선택합니다. 이들은 일치하는 것이 좋습니다. 이 단계는 소스 장치/파일에 대한 지식과 블록 크기에 대한 이해가 필요합니다. [블록 크기에 대한 일반 정보는 웹 검색을 통해 찾을 수 있습니다].

마지막으로 이미지를 조정할 수 있는 몇 가지 옵션이 제공됩니다. 여기에서 장치/파일 압축, 해시 방법 및 이미지 후 해시를 확인할지 여부를 선택할 수 있습니다.

이 시점에서 dd 이미지를 생성하는 데 필요한 모든 기준을 식별했습니다. “시작”을 클릭하고 AIR가 나머지를 처리하도록 하세요. “상태 창 표시”를 클릭하여 AIR가 백그라운드에서 실행 중인 명령을 확인하세요. 상태 창은 상세한 로깅 요약을 표시합니다. 여기에서 데이터 전송 상태 및 해시 검증 결과를 확인할 수 있습니다.

중요: 해시 값은 소스 장치/파일의 정확한 dd 이미지를 보장하기 위해 반드시 동일해야 합니다.

축하합니다! 자동화된 이미지 및 복원 GUI 프론트 엔드 애플리케이션을 사용하여 dd 이미지를 생성했습니다.