dd (image disque brute)
Qu'est-ce que dd (image disque brute) ?
dd (image disque brute)Copie plate, bit a bit, d'un peripherique de stockage produite par l'utilitaire Unix dd (ou des outils compatibles), sans compression, metadonnees ni hash par bloc.
Une image dd est l'acquisition forensique la plus simple possible : une copie secteur par secteur d'un disque, d'une partition ou d'un peripherique memoire ecrite dans un ou plusieurs fichiers. Le nom vient du venerable utilitaire Unix dd et le format est defini par ce que dd ecrit : pas d'en-tete, pas de metadonnees, pas de compression et pas de hash integre. Des variantes comme dcfldd, dc3dd et ewfacquire ajoutent journalisation, hash et decoupe en sortie tout en conservant la meme structure brute. Tous les outils forensiques savent lire une image dd, ce qui en fait un choix ideal pour l'archivage et l'analyse independante des outils, accompagnee d'une liste de hashs et d'un journal de chaine de possession.
● Exemples
- 01
Acquerir /dev/sda sur une machine Linux avec `dcfldd if=/dev/sda hash=sha256 of=case01.dd`.
- 02
Charger une image dd dans Autopsy ou The Sleuth Kit pour analyser partitions et systeme de fichiers.
● Questions fréquentes
Qu'est-ce que dd (image disque brute) ?
Copie plate, bit a bit, d'un peripherique de stockage produite par l'utilitaire Unix dd (ou des outils compatibles), sans compression, metadonnees ni hash par bloc. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie dd (image disque brute) ?
Copie plate, bit a bit, d'un peripherique de stockage produite par l'utilitaire Unix dd (ou des outils compatibles), sans compression, metadonnees ni hash par bloc.
Comment fonctionne dd (image disque brute) ?
Une image dd est l'acquisition forensique la plus simple possible : une copie secteur par secteur d'un disque, d'une partition ou d'un peripherique memoire ecrite dans un ou plusieurs fichiers. Le nom vient du venerable utilitaire Unix dd et le format est defini par ce que dd ecrit : pas d'en-tete, pas de metadonnees, pas de compression et pas de hash integre. Des variantes comme dcfldd, dc3dd et ewfacquire ajoutent journalisation, hash et decoupe en sortie tout en conservant la meme structure brute. Tous les outils forensiques savent lire une image dd, ce qui en fait un choix ideal pour l'archivage et l'analyse independante des outils, accompagnee d'une liste de hashs et d'un journal de chaine de possession.
Comment se défendre contre dd (image disque brute) ?
Les défenses contre dd (image disque brute) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de dd (image disque brute) ?
Noms alternatifs courants : Image raw, .dd, .img, .raw.
● Termes liés
- forensics-ir№ 366
Format d'image E01 (EnCase)
Format d'image forensique introduit par Guidance Software pour EnCase, qui stocke la copie acquise dans des fichiers segmentes et compresses avec metadonnees et sommes de controle.
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Outil de triage Windows edite par Kroll qui collecte des artefacts forensiques sur des systemes vivants ou des images, puis execute des modules de parsing pour livrer une sortie exploitable.
- forensics-ir№ 388
EZ Tools d'Eric Zimmerman
Suite gratuite d'outils DFIR Windows (CLI et GUI) d'Eric Zimmerman pour parser les artefacts forensiques courants et construire des chronologies.
- forensics-ir№ 162
Chaîne de possession
Traçabilité chronologique et documentée de chaque personne, lieu et action ayant affecté une preuve, de la saisie jusqu'à son sort final.