Criando uma imagem dd/dcfldd usando o Automated Image & Restore (AIR)

O que é o Automated Image & Restore

Automated Image & Restore (AIR) é um aplicativo de código aberto que fornece uma interface gráfica para o comando dd/dcfldd (Dataset Definition (dd)). O AIR é projetado para criar facilmente imagens forenses de disco/partição. Ele suporta hashes MD5/SHAx, drives de fita SCSI, imagem através de uma rede TCP/IP, divisão de imagens e registro detalhado de sessões. Até o momento, a utilidade AIR foi desenvolvida apenas para uso em distribuições Linux. Em sua forma mais simples, o AIR fornece uma interface conveniente para executar o conjunto de comandos dd. Ele elimina o risco de cometer um erro ao digitar no terminal e, em última análise, torna o uso do comando dd mais amigável para aqueles que não são tão experientes. Por favor, note que usar a interface do AIR ainda requer algum conhecimento básico de como os comandos dd (ou dcfldd) funcionam.

O comando dd existe há bastante tempo. É bem conhecido na comunidade Unix/Linux, bem documentado e, como posso imaginar, amplamente utilizado. Uma imagem dd é uma imagem bit a bit de um dispositivo ou arquivo de origem. Os usos do dd variam desde a criação e manutenção de backups de sistema e imagens de restauração até a aplicação forense de imagem de evidências que serão devolvidas ao laboratório e examinadas.

Este tutorial não foi projetado para ensinar o uso do comando dd; isso está bem documentado e uma simples pesquisa na internet resultará em uma infinidade de resultados. Em vez disso, a intenção deste mini “como fazer” é apresentar aos usuários o aplicativo da interface do AIR, aumentar a conscientização geral sobre a utilidade e fornecer um breve exemplo de como criar uma imagem dd usando esta ferramenta.

AVISO: Não afirmo ser um especialista no uso do dd ou do Automated Image & Restore.

Configurando o AIR

A primeira coisa que você deve fazer é baixar e instalar a versão mais recente do aplicativo AIR. O aplicativo AIR está disponível para download em www.sourceforge.net/projects/air-imager.

Depois de baixar os arquivos para o seu sistema, descompacte, extraia e instale o aplicativo. [Neste exemplo, eu baixei o pacote .tar.gz e exibirei os comandos relacionados a este tipo de arquivo específico]

– Certifique-se de que você está em um shell root

sudo -s

– Verifique seu diretório atual para garantir que você está no local correto para acessar o pacote que você baixou

pwd

– Descompacte e extraia os arquivos do AIR

tar -zxvf /path/air-1.2.8.tar.gz

– Se desejar, este é um bom momento para ler o arquivo README.txt

– Mude para o seu diretório AIR

cd /path/air-1.2.8

– Execute o script de instalação

./install-air-1.2.8

A GUI do AIR

Observe que o AIR não funciona em todas as distribuições Linux. Consulte as informações do projeto em sourceforge.net e o arquivo README.txt para uma lista de distribuições conhecidas suportadas - estou usando o Ubuntu, que não está entre a lista. O Ubuntu ainda pode executar o AIR, no entanto, algumas funcionalidades estão indisponíveis. Agora que você baixou e instalou o aplicativo com sucesso, execute o AIR em um shell root digitando “air” no terminal. O AIR executará uma série de verificações e a GUI será iniciada automaticamente.

Reserve um momento para se familiarizar com a GUI do AIR. Observe como os botões e opções se relacionam com vários comandos dd que podem ser usados no terminal.

FIGURA 1

Criando uma imagem dd usando o AIR

Para este exercício, criaremos uma imagem dd de um .jpg na pasta raiz e a copiaremos para um CD-ROM. O AIR executará os comandos em segundo plano que criarão a imagem e a copiarão para o CD-ROM. (Em um cenário real, este .jpg poderia facilmente representar um disco rígido comprometido ou outra peça de evidência).

Primeiro, selecione o dispositivo ou arquivo de origem que você gostaria de criar a imagem. Isso pode ser um drive/partição específica, um arquivo como um .jpg, uma pasta ou qualquer número de outros itens em um computador. Vamos selecionar /root/ectf.jpg que é o arquivo original.

Em seguida, selecione o dispositivo/arquivo de destino onde você gostaria que a imagem fosse copiada. Vamos escolher /dev/hdc que representa a unidade de CD/DVD.

[Nota, a seleção dos dispositivos/arquivos de origem e destino pode ser feita de algumas maneiras diferentes:

A. Escolha origem/destino na lista suspensa na barra de ferramentas - pode não estar disponível se usar uma distribuição Linux não suportada
B. Clique no botão de pasta para navegar pelas pastas em seu sistema
C. Clique no botão “Dispositivos Conectados” desejado na parte inferior do aplicativo e defina como origem ou destino
D. Digite o caminho conhecido na janela de origem/destino]

Após identificar a origem e o destino, escolha o tamanho de bloco desejado dos seus dispositivos/arquivos de origem e destino. É recomendável que esses valores coincidam. Esta etapa requer algum conhecimento sobre seu dispositivo/arquivo de origem e uma compreensão dos tamanhos de bloco. [Informações gerais sobre tamanhos de bloco podem ser encontradas através de pesquisa na web].

Por fim, você é apresentado a algumas opções para personalizar sua imagem. Aqui você tem a capacidade de escolher a compressão de dispositivo/arquivo, método de hash e se deseja ou não verificar os hashes após a imagem.

Neste ponto, você identificou todos os critérios necessários para criar sua imagem dd. Clique em “Iniciar” e deixe o AIR fazer o resto. Clique em “Mostrar Janela de Status” para visualizar os comandos que o AIR está executando em segundo plano. A janela de status exibirá um resumo detalhado do registro. É aqui que você pode visualizar o status da transferência de dados e os resultados da verificação de hash.

FIGURA 11

IMPORTANTE: Os valores de hash DEVEM ser idênticos para garantir que você tenha uma imagem dd exata do dispositivo/arquivo de origem.

Parabéns! Você acabou de criar uma imagem dd usando o aplicativo da interface gráfica do Automated Image & Restore.