dd (RAW ディスクイメージ)
dd (RAW ディスクイメージ) とは何ですか?
dd (RAW ディスクイメージ)Unix の dd コマンド (または互換ツール) で作成されるストレージデバイスのビット単位フラットコピーで、圧縮・メタデータ・ブロック単位ハッシュを持たない。
dd イメージは最も単純なフォレンジック取得方法であり、ディスク・パーティション・メモリデバイスをセクタ単位でそのままコピーして 1 つ以上のファイルへ書き出します。名称は古くからある Unix の dd コマンドに由来し、フォーマットは dd が出力する内容そのもの: ヘッダなし、メタデータなし、圧縮なし、内蔵ハッシュなし、です。dcfldd・dc3dd・ewfacquire などの派生ツールは同じ生の構造を維持したままログ・ハッシュ・分割出力を追加します。事実上すべてのフォレンジックツールが読み取れるため、長期保管やツール非依存の分析に最適で、外部のハッシュ一覧と証拠保全記録と組み合わせて運用します。
● 例
- 01
Linux 端末で `dcfldd if=/dev/sda hash=sha256 of=case01.dd` を実行し /dev/sda を取得する。
- 02
Autopsy や The Sleuth Kit に dd イメージを読み込み、パーティションとファイルシステムを解析する。
● よくある質問
dd (RAW ディスクイメージ) とは何ですか?
Unix の dd コマンド (または互換ツール) で作成されるストレージデバイスのビット単位フラットコピーで、圧縮・メタデータ・ブロック単位ハッシュを持たない。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
dd (RAW ディスクイメージ) とはどういう意味ですか?
Unix の dd コマンド (または互換ツール) で作成されるストレージデバイスのビット単位フラットコピーで、圧縮・メタデータ・ブロック単位ハッシュを持たない。
dd (RAW ディスクイメージ) はどのように機能しますか?
dd イメージは最も単純なフォレンジック取得方法であり、ディスク・パーティション・メモリデバイスをセクタ単位でそのままコピーして 1 つ以上のファイルへ書き出します。名称は古くからある Unix の dd コマンドに由来し、フォーマットは dd が出力する内容そのもの: ヘッダなし、メタデータなし、圧縮なし、内蔵ハッシュなし、です。dcfldd・dc3dd・ewfacquire などの派生ツールは同じ生の構造を維持したままログ・ハッシュ・分割出力を追加します。事実上すべてのフォレンジックツールが読み取れるため、長期保管やツール非依存の分析に最適で、外部のハッシュ一覧と証拠保全記録と組み合わせて運用します。
dd (RAW ディスクイメージ) からどのように防御しますか?
dd (RAW ディスクイメージ) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
dd (RAW ディスクイメージ) の別名は何ですか?
一般的な別名: RAW イメージ, .dd, .img, .raw。
● 関連用語
- forensics-ir№ 366
E01 (EnCase) フォレンジックイメージ形式
Guidance Software が EnCase 向けに開発したフォレンジックディスクイメージ形式で、圧縮分割ファイルにメタデータとチェックサムを埋め込む。
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Kroll が提供する Windows 用トリアージツールで、稼働中のシステムやイメージからフォレンジックアーティファクトを収集し、パーサーモジュールで解析結果を出力する。
- forensics-ir№ 388
Eric Zimmerman の EZ Tools
Eric Zimmerman が提供する Windows DFIR 向けの無料 CLI/GUI ツール群で、主要なフォレンジックアーティファクトを解析しタイムラインを構築できる。
- forensics-ir№ 162
証拠保全の連鎖(チェーン・オブ・カストディ)
押収から最終処分まで、証拠に関わったすべての人物・場所・作業を時系列で記録した連鎖的な書面記録。