dd (imagem de disco bruta)
O que é dd (imagem de disco bruta)?
dd (imagem de disco bruta)Copia plana, bit a bit, de um dispositivo de armazenamento gerada pelo utilitario Unix dd (ou ferramentas compativeis), sem compressao, metadados ou hash por bloco.
Uma imagem dd e a aquisicao forense mais simples possivel: uma copia setor a setor de um disco, particao ou dispositivo de memoria escrita em um ou varios arquivos. O nome vem do classico comando Unix dd e o formato e definido pelo que o dd grava: sem cabecalho, sem metadados, sem compressao e sem hashes embutidos. Variantes como dcfldd, dc3dd e ewfacquire adicionam log, hashing e divisao de saida mantendo o mesmo layout bruto. Praticamente todas as ferramentas forenses leem imagens dd, o que as torna ideais para arquivamento e analise independente de ferramenta, normalmente acompanhadas de uma lista de hashes externa e registro de cadeia de custodia.
● Exemplos
- 01
Adquirir /dev/sda em uma maquina Linux com `dcfldd if=/dev/sda hash=sha256 of=caso01.dd`.
- 02
Carregar uma imagem dd no Autopsy ou The Sleuth Kit para analisar particoes e sistema de arquivos.
● Perguntas frequentes
O que é dd (imagem de disco bruta)?
Copia plana, bit a bit, de um dispositivo de armazenamento gerada pelo utilitario Unix dd (ou ferramentas compativeis), sem compressao, metadados ou hash por bloco. Pertence à categoria Forense e resposta da cibersegurança.
O que significa dd (imagem de disco bruta)?
Copia plana, bit a bit, de um dispositivo de armazenamento gerada pelo utilitario Unix dd (ou ferramentas compativeis), sem compressao, metadados ou hash por bloco.
Como funciona dd (imagem de disco bruta)?
Uma imagem dd e a aquisicao forense mais simples possivel: uma copia setor a setor de um disco, particao ou dispositivo de memoria escrita em um ou varios arquivos. O nome vem do classico comando Unix dd e o formato e definido pelo que o dd grava: sem cabecalho, sem metadados, sem compressao e sem hashes embutidos. Variantes como dcfldd, dc3dd e ewfacquire adicionam log, hashing e divisao de saida mantendo o mesmo layout bruto. Praticamente todas as ferramentas forenses leem imagens dd, o que as torna ideais para arquivamento e analise independente de ferramenta, normalmente acompanhadas de uma lista de hashes externa e registro de cadeia de custodia.
Como se defender contra dd (imagem de disco bruta)?
As defesas contra dd (imagem de disco bruta) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para dd (imagem de disco bruta)?
Nomes alternativos comuns: Imagem raw, .dd, .img, .raw.
● Termos relacionados
- forensics-ir№ 366
Formato de imagem E01 (EnCase)
Formato de imagem forense introduzido pela Guidance Software para o EnCase que armazena a aquisicao em arquivos segmentados e comprimidos com metadados e somas de verificacao.
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Ferramenta de triagem para Windows da Kroll que coleta artefatos forenses de sistemas em execucao ou de imagens e executa modulos parseadores para gerar saida pronta para analise.
- forensics-ir№ 388
EZ Tools de Eric Zimmerman
Conjunto gratuito de ferramentas DFIR para Windows, em linha de comando e GUI, criado por Eric Zimmerman para parsear artefatos forenses e construir linhas do tempo.
- forensics-ir№ 162
Cadeia de custódia
Registo cronológico e documentado de cada pessoa, local e ação que afetam uma evidência desde a apreensão até à sua disposição final.