Cara Menggunakan Perintah dd di Forensik

Saat menggunakan baris perintah di Ubuntu, Anda mungkin perlu menyalin file dari satu tempat ke tempat lain. Anda mungkin juga ingin memastikan bahwa data disalin secara akurat. Misalnya, Anda ingin mencadangkan disk Anda dan Anda ingin memastikan bahwa itu dicadangkan secara akurat. Untuk melakukan tindakan ini, Anda dapat menggunakan DD (Pembuangan data) utilitas baris perintah yang tersedia di banyak distribusi Linux, seperti Ubuntu dan Fedora. Itu DD alat adalah utilitas baris perintah bawaan, dan Anda tidak perlu menginstalnya sebelum menggunakan alat ini. Tujuan dasar dari perintah ini adalah untuk mentransfer data dari satu drive ke drive lain sambil juga memastikan bahwa data itu sendiri tidak berubah. Kemampuan alat ini untuk memindahkan data secara akurat dari satu perangkat ke perangkat lain menjadikannya alat yang populer untuk mencadangkan data Anda. Tanpa md5sum, DD alat hanya mentransfer data dari drive ke drive, tetapi jika Anda menggunakan use DD alat dengan md5sum, maka Anda dapat memastikan bahwa transfer data tidak akan rusak. Tutorial ini akan membahas beberapa kasus penggunaan yang berbeda dari DD perintah, khususnya dalam konteks Forensik.

Memulai dengan Perintah dd

Untuk memulai dengan DD perintah, pertama, buka terminal dengan menekan Ctrl+Alt+T. Kemudian, jalankan perintah berikut:

[dilindungi email]:~$ man dd

Menjalankan perintah di atas akan menampilkan panduan pengguna dari DD perintah. Itu DD perintah digunakan dengan beberapa parameter. Untuk membuat daftar semua parameter yang tersedia, jalankan perintah berikut di terminal:

[dilindungi email]:~$ dd --help

Perintah di atas akan memberi Anda semua opsi yang tersedia yang dapat digunakan dengan DD perintah. Artikel ini tidak akan membahas semua opsi yang tersedia, tetapi hanya yang terkait dengan topik yang diberikan. Di bawah ini tercantum beberapa parameter terpenting dari DD perintah:

• bs=B: Parameter ini menetapkan jumlah byte B yang dapat dibaca atau ditulis kapan saja saat membuat file gambar disk. Nilai default bs adalah 512 byte.
• cbs=B: Parameter ini menetapkan jumlah byte B yang dapat dikonversi pada suatu waktu selama proses apa pun.
• hitung=N: Parameter ini menetapkan jumlah N blok input data yang akan disalin.
• jika = TANGGAL: Parameter ini mengambil file dari DEST tujuan.
• dari=DEST: Parameter ini menyimpan file ke DEST tujuan.

Persyaratan Penting untuk Ditinjau

Dalam tutorial ini, saat membahas DD perintah dalam konteks forensik, kami akan menggunakan beberapa istilah teknis yang harus Anda ketahui sebelum melalui tutorial. Berikut ini adalah istilah yang akan digunakan berulang kali selama tutorial:

• Ceksum MD5: Checksum MD5 adalah string 32 karakter yang dihasilkan oleh algoritma hashing yang unik untuk data yang berbeda. Tidak ada dua file berbeda yang dapat memiliki checksum MD5 yang sama.
• md5sum: md5sum adalah utilitas baris perintah yang digunakan untuk mengimplementasikan algoritma hashing 128-bit dan juga digunakan untuk menghasilkan checksum MD5 dari data unik. Kami akan menggunakan md5sum dalam tutorial di artikel ini untuk menghasilkan data checksum MD5.
• File Gambar Disk: File gambar disk adalah salinan persis dari disk tempat file itu dibuat. Kita dapat mengatakan bahwa ini adalah snapshot dari disk. Kami dapat memulihkan data disk kami dari file gambar disk ini saat diperlukan. File ini berukuran persis sama dengan disk itu sendiri. Kami akan menggunakan DD perintah untuk membuat file image disk dari disk.

Ikhtisar Tutorial

Dalam tutorial ini, kami akan membuat sistem cadangan dan memverifikasi apakah data dicadangkan secara akurat dengan with DD dan md5sum perintah. Pertama, kami akan menentukan disk yang ingin kami buat cadangannya. Selanjutnya, kita akan menggunakan DD utilitas baris perintah untuk membuat file image disk dari disk. Kemudian, kami akan membuat checksum MD5 dari file disk dan image disk untuk memverifikasi apakah file image disk akurat. Setelah ini, kami akan memulihkan disk dari file image disk. Kami kemudian akan membuat checksum MD5 dari disk yang dipulihkan dan memverifikasinya dengan membandingkannya dengan checksum MD5 dari disk asli. Terakhir, kita akan mengubah file image disk dan membuat checksum MD5 dari file image disk yang diubah ini untuk menguji akurasinya. Checksum MD5 dari file image disk yang diubah tidak boleh sama dengan file aslinya.

Perintah dd dalam Konteks Forensik

Itu DD perintah datang secara default dengan banyak distribusi Linux (Fedora, Ubuntu, dll.). Selain melakukan tindakan sederhana pada data, DD perintah juga dapat digunakan untuk melakukan beberapa tugas forensik dasar. Dalam tutorial ini, kita akan menggunakan DD perintah, bersama dengan md5sum, untuk memverifikasi pembuatan image disk yang akurat dari disk asli.

Langkah-Langkah yang Harus Diikuti

Di bawah ini adalah langkah-langkah yang diperlukan untuk memverifikasi gambar disk suara menggunakan: md5sum dan DD perintah.

• Buat checksum MD5 dari disk menggunakan md5sum perintah
• Buat file gambar dari disk menggunakan DD perintah
• Buat checksum MD5 dari file gambar menggunakan md5sum perintah
• Bandingkan checksum MD5 dari file image disk dengan checksum MD5 dari disk
• Pulihkan disk dari file image disk
• Buat checksum MD5 dari disk yang dipulihkan
• Uji checksum MD5 terhadap file gambar yang diubah
• Bandingkan semua checksum MD5

Sekarang, kita akan membahas semua langkah secara rinci, untuk menunjukkan dengan lebih baik bagaimana segala sesuatunya bekerja dengan perintah ini.

Membuat checksum MD5 dari Disk

Untuk memulai, login terlebih dahulu sebagai pengguna root. Untuk masuk sebagai pengguna root, jalankan perintah berikut di terminal. Anda kemudian akan dimintai kata sandi. Masukkan kata sandi root Anda dan mulailah sebagai pengguna root.

[dilindungi email]:~$ sudo su

Sebelum membuat checksum MD5, pertama, pilih disk yang ingin Anda gunakan. Untuk membuat daftar semua disk yang tersedia di perangkat Anda, jalankan perintah berikut di terminal:

[dilindungi email]:~$ df -h

Untuk tutorial ini, saya akan menggunakan /dev/sdb1 disk tersedia di perangkat saya. Anda dapat memilih disk yang sesuai dari perangkat Anda untuk digunakan.

CATATAN: Pilih disk ini dengan bijak dan gunakan DD utilitas baris perintah di lingkungan yang aman, karena dapat berdampak buruk pada disk Anda jika tidak digunakan dengan benar.

Buat file MD5 asli di /media file dan jalankan perintah md5sum di terminal untuk membuat checksum MD5 dari disk.

[dilindungi email]:~$ sentuh  /media/originalMD5
[dilindungi email]:~$ md5sum /dev/sdb1  > /media/originalMD5

Saat Anda menjalankan perintah di atas, itu membuat file di tujuan yang ditentukan oleh parameter dan menyimpan checksum MD5 disk (/ dev/sdb1, dalam hal ini) di file.

CATATAN: Perintah md5sum dapat memakan waktu lama untuk dijalankan, tergantung pada ukuran disk dan kecepatan prosesor sistem Anda.

Anda dapat membaca checksum MD5 dari disk dengan menjalankan perintah berikut di terminal, yang akan memberikan checksum, serta nama disk:

[dilindungi email]:~$ cat /media/originalMD5

Membuat File Gambar dari Disk

Sekarang, kita akan menggunakan DD perintah untuk membuat file gambar dari disk. Jalankan perintah berikut di terminal untuk membuat file gambar.

[dilindungi email]:~$ dd if=/dev/sdb1 of=/media/diskImage.img bs=1k

Ini akan membuat file di lokasi yang ditentukan. Itu DD perintah tidak bekerja sendiri. Anda juga harus menentukan beberapa opsi dalam perintah ini. Opsi yang disertakan dengan DD perintah memiliki arti sebagai berikut:

• Jika: Jalur untuk memasukkan gambar file atau drive yang akan disalin.
• dari: Jalur untuk menampilkan file gambar yang diperoleh dari jika
• b: Ukuran blok; dalam contoh ini, kami menggunakan ukuran blok 1k atau 1024B.

CATATAN: Jangan mencoba membaca atau membuka file image disk, karena ukurannya sama dengan disk Anda, dan Anda mungkin berakhir dengan sistem tangan. Juga, pastikan untuk menentukan lokasi file ini dengan bijak karena ukurannya yang lebih besar.

Membuat checksum MD5 dari File Gambar

Kami akan membuat checksum MD5 dari file gambar disk yang dibuat pada langkah sebelumnya menggunakan prosedur yang sama yang dilakukan pada langkah pertama. Jalankan perintah berikut di terminal untuk membuat checksum MD5 dari file image disk:

[dilindungi email]:~$ md5sum /media/diskImage.img > /media/imageMD5

Ini akan membuat checksum MD5 dari file image disk. Sekarang, kami memiliki file berikut yang tersedia:

• MD5 checksum dari disk
• File gambar disk dari disk
• MD5 checksum dari file gambar

Membandingkan Checksum MD5

Sejauh ini, kami telah membuat checksum MD5 dari disk dan file image disk. Selanjutnya, untuk memeriksa apakah image disk yang akurat telah dibuat, kami akan membandingkan checksum dari disk itu sendiri dan file image disk. Masukkan perintah berikut di terminal Anda untuk mencetak teks kedua file untuk membandingkan kedua file:

[dilindungi email]:~$ cat /media/originalMD5
[dilindungi email]:~$ cat /media/imageMD5

Perintah ini akan menampilkan konten dari kedua file both. Checksum MD5 dari kedua file harus sama. Jika checksum MD5 file tidak sama, pasti ada masalah saat membuat file image disk.

Memulihkan Disk dari File Gambar

Selanjutnya, kami akan mengembalikan disk asli dari file gambar disk menggunakan DD perintah. Ketik perintah berikut di terminal untuk memulihkan disk asli dari file image disk:

[dilindungi email]:~$ dd if=/media/diskImage.img dari=/dev/sdb1 bs=1k

Perintah di atas mirip dengan yang digunakan untuk membuat file image disk dari disk. Namun, dalam kasus ini, input dan output dialihkan, membalikkan aliran data untuk memulihkan disk dari file image disk. Setelah memasukkan perintah di atas, sekarang kami telah memulihkan disk kami dari file gambar disk.

Membuat Checksum MD5 dari Disk yang Dipulihkan

Selanjutnya, kita akan membuat checksum MD5 dari disk yang dipulihkan dari file image disk. Ketik perintah berikut untuk membuat checksum MD5 dari disk yang dipulihkan:

[dilindungi email]:~$ md5sum /dev/sdb1 > /media/RestoredMD5

Menggunakan perintah di atas, buat checksum MD5 dari disk yang dipulihkan dan tampilkan di terminal. Kita dapat membandingkan checksum MD5 dari disk yang dipulihkan dengan checksum MD5 dari disk asli. Jika keduanya sama, ini berarti kami telah memulihkan disk kami secara akurat dari gambar disk.

Menguji Checksum MD5 Terhadap File Gambar yang Diubah

Sejauh ini, kami telah membandingkan checksum MD5 dari disk yang dibuat secara akurat dan file gambar disk. Selanjutnya, kami akan menggunakan analisis forensik ini untuk memeriksa keakuratan file image disk yang diubah. Ubah file gambar disk dengan menjalankan perintah berikut di terminal.

[dilindungi email]:~$ echo “abcdef” >> /media/diskImage.gambar

Sekarang, kami telah mengubah file gambar disk kami, dan itu tidak lagi sama seperti sebelumnya. Perhatikan bahwa saya telah menggunakan tanda ">>" alih-alih ">.Ini berarti saya telah menambahkan file gambar disk, alih-alih menulis ulang. Selanjutnya, kita akan membuat checksum MD5 lain dari file image disk yang diubah menggunakan perintah md5sum di terminal.

[dilindungi email]:~$ md5sum /media/diskImage.img > /media/diubahMD5

Memasukkan perintah ini akan membuat checksum MD5 dari file image disk yang diubah. Sekarang, kami memiliki file-file berikut:

• Checksum MD5 asli
• Disk Image MD5 checksum
• Disk yang dipulihkan MD5 checksum
• Mengubah image disk MD5 checksum

Membandingkan semua Checksum MD5

Kami akan menyimpulkan diskusi kami dengan membandingkan semua checksum MD5 yang dibuat selama tutorial ini. Menggunakan kucing perintah untuk membaca semua file checksum MD5 untuk membandingkannya satu sama lain:

[dilindungi email]:~$ cat /media/*MD5

Perintah di atas akan menampilkan konten dari semua file checksum MD5. Kita dapat melihat dari gambar di atas bahwa semua checksum MD5 adalah sama, kecuali yang teratas, yang dibuat dengan file image disk yang diubah. Jadi, dengan cara ini, kami dapat memverifikasi keakuratan file menggunakan DD dan md5sum perintah.

Kesimpulan

Membuat cadangan data Anda adalah strategi penting untuk memulihkannya jika terjadi bencana, tetapi cadangan tidak berguna jika data Anda rusak di tengah transfer. Untuk memastikan bahwa transfer data akurat, Anda dapat menggunakan beberapa alat untuk melakukan tindakan pada data untuk mengotentikasi apakah data telah rusak melalui proses penyalinan.

Itu DD command adalah utilitas baris perintah bawaan yang digunakan untuk membuat file gambar dari data yang disimpan dalam disk. Anda juga dapat menggunakan md5sum perintah untuk membuat checksum MD5 dari gambar yang baru dibuat, yang mengotentikasi keakuratan data yang disalin, untuk melakukan forensik pada data yang ditransfer bersama dengan DD perintah. Tutorial ini membahas cara menggunakan DD dan md5sum alat dalam konteks forensik untuk memastikan keakuratan data disk yang disalin.