dd (сырой образ диска)
Что такое dd (сырой образ диска)?
dd (сырой образ диска)Плоская побитовая копия носителя, созданная утилитой Unix dd (или совместимыми инструментами), без сжатия, метаданных и поблочных хешей.
Образ dd — это простейший вариант криминалистической копии: посекторное снятие диска, раздела или устройства памяти, записанное в один или несколько файлов. Название восходит к классической команде Unix dd, а формат фактически определяется тем, что записывает dd: нет заголовка, метаданных, сжатия и встроенных хешей. Производные инструменты, такие как dcfldd, dc3dd и ewfacquire, добавляют логирование, хеширование и разбиение, но сохраняют ту же сырую структуру. Образ dd читают практически все криминалистические пакеты, что делает его удобным для архивирования и анализа в любом инструменте; эксперты дополнительно ведут внешний список хешей и журнал цепочки владения.
● Примеры
- 01
Снятие /dev/sda на Linux-машине командой `dcfldd if=/dev/sda hash=sha256 of=case01.dd`.
- 02
Открытие образа dd в Autopsy или The Sleuth Kit для анализа разделов и файловой системы.
● Частые вопросы
Что такое dd (сырой образ диска)?
Плоская побитовая копия носителя, созданная утилитой Unix dd (или совместимыми инструментами), без сжатия, метаданных и поблочных хешей. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает dd (сырой образ диска)?
Плоская побитовая копия носителя, созданная утилитой Unix dd (или совместимыми инструментами), без сжатия, метаданных и поблочных хешей.
Как работает dd (сырой образ диска)?
Образ dd — это простейший вариант криминалистической копии: посекторное снятие диска, раздела или устройства памяти, записанное в один или несколько файлов. Название восходит к классической команде Unix dd, а формат фактически определяется тем, что записывает dd: нет заголовка, метаданных, сжатия и встроенных хешей. Производные инструменты, такие как dcfldd, dc3dd и ewfacquire, добавляют логирование, хеширование и разбиение, но сохраняют ту же сырую структуру. Образ dd читают практически все криминалистические пакеты, что делает его удобным для архивирования и анализа в любом инструменте; эксперты дополнительно ведут внешний список хешей и журнал цепочки владения.
Как защититься от dd (сырой образ диска)?
Защита от dd (сырой образ диска) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия dd (сырой образ диска)?
Распространённые альтернативные названия: Сырой образ, .dd, .img, .raw.
● Связанные термины
- forensics-ir№ 366
Формат образа E01 (EnCase)
Криминалистический формат образа диска, изначально предложенный Guidance Software для EnCase: сжатые сегментированные файлы с метаданными и контрольными суммами.
- forensics-ir№ 578
KAPE (Kroll Artifact Parser and Extractor)
Инструмент триажа для Windows от Kroll, который собирает криминалистические артефакты с работающих систем или образов и запускает модули-парсеры, выдавая готовый для анализа вывод.
- forensics-ir№ 388
EZ Tools Эрика Циммермана
Бесплатный набор инструментов DFIR для Windows (CLI и GUI) от Эрика Циммермана для разбора распространённых криминалистических артефактов и построения таймлайнов.
- forensics-ir№ 162
Цепочка хранения доказательств
Хронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.