dd (Raw-Disk-Image)
Was ist dd (Raw-Disk-Image)?
dd (Raw-Disk-Image)Eine flache Bit-fuer-Bit-Kopie eines Speichergeraets, erzeugt mit dem Unix-Tool dd (oder kompatiblen Werkzeugen), ohne Kompression, Metadaten oder blockweise Hashes.
Ein dd-Image ist die einfachste denkbare forensische Akquise: eine sektorweise Rohkopie einer Festplatte, Partition oder eines Speicherbereichs, gespeichert in einer oder mehreren Dateien. Der Name stammt vom klassischen Unix-Befehl dd, und das Format ist im Wesentlichen das, was dd schreibt: kein Header, keine Metadaten, keine Kompression und keine eingebetteten Hashes. Varianten wie dcfldd, dc3dd oder ewfacquire ergaenzen Logging, Hashing und geteilte Ausgabe, behalten aber das gleiche Rohlayout. Praktisch jedes Forensik-Tool kann dd-Images lesen, was sie ideal fuer Archivierung und werkzeugunabhaengige Analysen macht; Pruefer fuehren dazu separat eine Hashliste und ein Chain-of-Custody-Protokoll.
● Beispiele
- 01
Akquise von /dev/sda auf einem Linux-System per `dcfldd if=/dev/sda hash=sha256 of=case01.dd`.
- 02
Laden eines dd-Images in Autopsy oder The Sleuth Kit zur Partitions- und Dateisystem-Analyse.
● Häufige Fragen
Was ist dd (Raw-Disk-Image)?
Eine flache Bit-fuer-Bit-Kopie eines Speichergeraets, erzeugt mit dem Unix-Tool dd (oder kompatiblen Werkzeugen), ohne Kompression, Metadaten oder blockweise Hashes. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet dd (Raw-Disk-Image)?
Eine flache Bit-fuer-Bit-Kopie eines Speichergeraets, erzeugt mit dem Unix-Tool dd (oder kompatiblen Werkzeugen), ohne Kompression, Metadaten oder blockweise Hashes.
Wie funktioniert dd (Raw-Disk-Image)?
Ein dd-Image ist die einfachste denkbare forensische Akquise: eine sektorweise Rohkopie einer Festplatte, Partition oder eines Speicherbereichs, gespeichert in einer oder mehreren Dateien. Der Name stammt vom klassischen Unix-Befehl dd, und das Format ist im Wesentlichen das, was dd schreibt: kein Header, keine Metadaten, keine Kompression und keine eingebetteten Hashes. Varianten wie dcfldd, dc3dd oder ewfacquire ergaenzen Logging, Hashing und geteilte Ausgabe, behalten aber das gleiche Rohlayout. Praktisch jedes Forensik-Tool kann dd-Images lesen, was sie ideal fuer Archivierung und werkzeugunabhaengige Analysen macht; Pruefer fuehren dazu separat eine Hashliste und ein Chain-of-Custody-Protokoll.
Wie schützt man sich gegen dd (Raw-Disk-Image)?
Schutzmaßnahmen gegen dd (Raw-Disk-Image) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für dd (Raw-Disk-Image)?
Übliche alternative Bezeichnungen: Raw-Image, .dd, .img, .raw.
● Verwandte Begriffe
- forensics-ir№ 366
E01-Forensik-Image-Format (EnCase)
Ein von Guidance Software fuer EnCase eingefuehrtes Forensik-Image-Format, das die Akquise in komprimierten, segmentierten Dateien mit Metadaten und Pruefsummen ablegt.
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Ein Windows-Triage-Tool von Kroll, das forensische Artefakte von Live-Systemen oder Images einsammelt und mit Parser-Modulen direkt auswertbare Ergebnisse erzeugt.
- forensics-ir№ 388
EZ Tools von Eric Zimmerman
Eine kostenlose Sammlung von Windows-DFIR-Tools (CLI und GUI) von Eric Zimmerman zum Parsen gaengiger forensischer Artefakte und zum Erstellen von Zeitlinien.
- forensics-ir№ 162
Beweismittelkette
Lückenlose, dokumentierte Aufzeichnung jeder Person, jedes Orts und jeder Handlung in Bezug auf ein Beweismittel von der Sicherstellung bis zur Vernichtung.