ddによる複製.pptVIP

? Hideaki Ihara(Port139). ddによる複製 2004/05/24 伊原 秀明(Port139) ファイルシステムの複製 ddコマンドを利用し、ファイルシステム（HDD,パーティション）の内容を複製する dd の選択 dd コマンドUNIX環境,Cygwin環境は標準で含まれるWindowsには含まれない dcfl-dd米国防総省（DoD）の拡張版ddコマンド Forensic Acquisition UtilitiesWindows用に移植された dd,nc,md5sum 利用時には安全なバイナリを準備 dcfl-dd Penguin Sleuth Bootable CD、F.I.R.E.に標準で含まれる/biatchux/dcfldd-1.0.tar.gz 進捗状況、MD5値を確認できる コマンドラインはddと基本的に同じdcfldd if=/dev/sda bs=512 conv=noerror Forensic Acquisition Utilities Windows 2000/XP対応 /gmgarner/forensics/ dd, nc, md5sum, volume_dump, wipe など証拠保全用のコマンド一式が含まれる 稼働中(Live)システムのイメージ作成用 dd, nc をマルチスレッド対応に改良 NTFSスパース ファイル(sparse file)に対応 メモリダンプ機能を持つ Windows上で使うならこちらを利用！ dd 引数(1) if=入力ファイル名を指定例)if=/dev/hda1 , if=\\.\c: of=出力ファイル名を指定, 省略時は標準出力へ bs=ブロックサイズ指定,デフォルトは1ブロック 512bytebs=512 を指定すること Forensic Acquisition Utilitiesに含まれるdd.exeはデフォルト 4,096byte dd 引数(2) conv=コンバートオプションを指定conv=noerror と指定することでエラーが発生しても処理を継続するエラー部分はゼロ(0)で埋められる※ブロックサイズを大きく指定すると、失われるデータが大量に発生する！ dd コマンドライン例 Forensic Acquisition Utilitiesを利用する場合 Cドライブの内容を c.dd として保存dd if=\\.\c: of=c.dd conv=noerror bs=512 ディスク1の内容を hdd01.dd として保存dd.exe if=\\.\PhysicalDrive0 of=hdd01.dd conv=noerror bs=512 保存先の容量 イメージファイルの保存先の空き容量に注意 コピー元サイズ以上の空き領域が必要となる ネットワーク経由の複製 nc(netcat)を使いリモートホストへ転送 異なるOS間での転送が容易に可能unix→unix, unix→win, win→unix, win→win 保存先領域の消毒 保存先は事前に“消毒”しておく 完全削除ツール等を利用して「0」で埋める例）wipe.exe を利用する ddでも可能dd if=/dev/zero of=/dev/hda 複製の確認(1) ddで作成したイメージ ファイルは,ハッシュ値で複製元と同一であるかを確認できる 複製元と複製したファイルが同じハッシュ値であれば正しく複製されている 稼働中(Live)システムを複製した場合には、（大抵）一致しない 複製の確認(2) イメージファイルが読み取り可能か確認を！ 失敗例)The Sleuth Kit にイメージを追加できない loop デバイスでマウントを試行してみる fsstat, mmlsコマンドでファイルシステムの内容が確認できるかテストする The Sleuth Kit と dd The Sleuth Kit を調査に利用する場合は、パーティション毎にイメージ ファイルを作成するか、ディスク単位で複製しパーティションを切り出す 複数パーティションを含むイメージファイルの読み取りに未対応の為（Ver2.xから対応予定） イメージファイルの圧縮 ddの出力を圧縮しては？ 出力先容量が足りない場合にのみ利用（まずは,十分な保存領域を用意すべき！） 圧縮してもイメージ作成速度は向上しない 圧縮は後からでも可能 圧縮されたファイルを直接読みとれる解析ツールは今のところない？（展開が必要に） * dd Disk Image HDD Disk Image Disk Image Image File ファイルシステム(複製) dd HDD Image