Создание образа dd/dcfldd с использованием Automated Image & Restore (AIR)

Что такое Automated Image & Restore

Automated Image & Restore (AIR) — это приложение с открытым исходным кодом, которое предоставляет графический интерфейс для команды dd/dcfldd (Dataset Definition (dd)). AIR предназначен для простого создания судебных образов дисков/разделов. Он поддерживает хеши MD5/SHAx, SCSI-ленты, создание образов по сети TCP/IP, разделение образов и детализированное ведение журналов сессий. На сегодняшний день утилита AIR была разработана только для использования в дистрибутивах Linux. В своей самой простой форме AIR предоставляет удобный интерфейс для выполнения набора команд dd. Он устраняет риск “ошибки при наборе” в терминале оболочки и, в конечном итоге, делает использование команды dd более удобным для тех, кто не так опытен. Обратите внимание, что использование графического интерфейса AIR все еще требует некоторых базовых знаний о том, как работают команды dd (или dcfldd).

Команда dd существует уже довольно давно. Она хорошо известна в сообществе Unix/Linux, хорошо документирована и, как я могу только представить, широко используется. Образ dd — это побитовый образ исходного устройства или файла. Применения dd варьируются от создания и поддержания резервных копий системы и образов восстановления до судебного применения создания образов доказательств, которые будут возвращены в лабораторию и исследованы.

Этот учебник не предназначен для обучения использованию команды dd; это хорошо задокументировано, и простое интернет-поиск даст множество результатов. Вместо этого цель этого мини “руководства” — познакомить пользователей с приложением графического интерфейса AIR, повысить общую осведомленность о утилите и предоставить краткий пример создания образа dd с использованием этого инструмента.

ОГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ: Я не претендую на звание эксперта в использовании dd или Automated Image & Restore.

Настройка AIR

Первое, что вам нужно сделать, это скачать и установить последнюю версию приложения AIR. Приложение AIR доступно для загрузки на www.sourceforge.net/projects/air-imager.

После того как вы скачали файлы на свою систему, распакуйте, извлеките и установите приложение. [В этом примере я скачал пакет .tar.gz и покажу команды, относящиеся к этому конкретному типу файла]

– Убедитесь, что вы находитесь в оболочке root

sudo -s

– Проверьте вашу текущую директорию, чтобы убедиться, что вы находитесь в правильном месте для доступа к загруженному пакету

pwd

– Распакуйте и извлеките файлы AIR

tar -zxvf /path/air-1.2.8.tar.gz

– Если хотите, сейчас хорошее время, чтобы прочитать файл README.txt

– Перейдите в вашу директорию AIR

cd /path/air-1.2.8

– Запустите скрипт установки

./install-air-1.2.8

Графический интерфейс AIR

Обратите внимание, что AIR не работает на всех дистрибутивах Linux. Обратитесь к информации о проекте на sourceforge.net и файлу README.txt для получения списка известных поддерживаемых дистрибутивов - я использую Ubuntu, который не входит в этот список. Тем не менее, Ubuntu может запускать AIR, однако некоторые функции могут быть недоступны. Теперь, когда вы успешно загрузили и установили приложение, запустите AIR в оболочке root, введя “air” в терминале. AIR выполнит серию проверок, и графический интерфейс запустится автоматически.

Потратьте немного времени, чтобы ознакомиться с графическим интерфейсом AIR. Обратите внимание, как кнопки и параметры соотносятся с различными командами dd, которые могут быть использованы в терминале.

ФИГУРА 1

Создание образа dd с использованием AIR

Для этого упражнения мы создадим образ dd файла .jpg в корневой папке и скопируем его на CD-ROM. AIR выполнит команды за кулисами, которые создадут образ и скопируют его на CD-ROM. (В реальном сценарии этот .jpg может очень легко представлять скомпрометированный жесткий диск или другой предмет доказательства).

Сначала выберите исходное устройство или файл, который вы хотите создать в образ. Это может быть конкретный диск/раздел, файл, такой как .jpg, папка или любое количество других элементов на компьютере. Мы выберем /root/ectf.jpg, который является оригинальным файлом.

Затем выберите устройство/файл назначения, куда вы хотите скопировать образ. Мы выберем /dev/hdc, который представляет CD/DVD-привод.

[Обратите внимание, что выбор исходных и целевых устройств/файлов можно сделать несколькими способами:

A. Выберите источник/назначение из выпадающего списка на панели инструментов - может быть недоступно, если используется неподдерживаемый дистрибутив Linux
B. Нажмите кнопку папки, чтобы просмотреть папки на вашей системе
C. Нажмите на желаемую кнопку “Подключенные устройства” внизу приложения и установите как источник или назначение
D. Введите известный путь в окне источника/назначения]

После определения источника и назначения выберите желаемый размер блока для ваших устройств/файлов источника и назначения. Рекомендуется, чтобы они совпадали. Этот шаг требует некоторых знаний о вашем исходном устройстве/файле и понимания размеров блоков. [Общую информацию о размерах блоков можно найти через веб-поиск].

Наконец, вам представлены несколько опций для настройки вашего образа. Здесь у вас есть возможность выбрать сжатие устройства/файла, метод хеширования и хотите ли вы проверить хеши после создания образа.

На этом этапе вы определили все необходимые критерии для создания вашего образа dd. Нажмите “Начать” и позвольте AIR сделать остальное. Нажмите “Показать окно состояния”, чтобы просмотреть команды, которые AIR выполняет в фоновом режиме. Окно состояния отобразит детализированное резюме ведения журнала. Здесь вы можете просмотреть статус передачи данных и результаты проверки хешей.

ФИГУРА 11

ВАЖНО: Значения хешей ДОЛЖНЫ быть идентичными, чтобы гарантировать, что у вас есть точный образ dd исходного устройства/файла.

Поздравляем! Вы только что создали образ dd с использованием графического интерфейса Automated Image & Restore.