使用自动映像和恢复(AIR)创建dd / dcfldd映像
什么是自动图像和还原
自动映像和还原(AIR)是一个开源应用程序,它为dd / dcfldd(Dataset Definition(dd))命令提供GUI前端。 AIR旨在轻松创建取证磁盘/分区映像。 它支持MD5 / SHAx散列,SCSI磁带驱动器,通过TCP / IP网络成像,分割图像和详细的会话记录。 迄今为止,AIR实用程序仅开发用于Linux发行版。 在其最简单的形式中,AIR提供了一个方便的界面来执行dd命令集。 它消除了“胖指法”shell外壳错误的风险,最终使dd命令对于那些没有经验的用户更加人性化。 请注意,使用AIR前端仍然需要有关dd(或dcfldd)命令如何工作的一些基本知识。
dd命令已经有一段时间了。 它在Unix / Linux社区中是众所周知的,记录在案,并且我只能想象得广泛使用。 dd图像是源设备或文件的逐位图像。 dd的用途范围从创建和维护系统备份,并将映像恢复到将被返回实验室并进行检查的成像证据的法医应用。
本教程不是用来教导使用dd命令的; 这是有据可查的,简单的互联网搜索将产生大量的结果。 相反,这种迷你“操作方法”的目的是将用户引入AIR前端应用程序,提高实用程序的整体意识,并提供使用此工具创建dd映像的简要示例。
免责声明:我不声称使用dd或自动映像与恢复专家。
设置AIR
您首先要做的是下载并安装最新版本的AIR应用程序。 AIR应用程序可从www.sourceforge.net/projects/air-imager下载。
将文件下载到系统后,解压缩,解压缩并安装应用程序。 [在这个例子中,我下载了.tar.gz包,并显示与这个特定文件类型相关的命令]
- 确保你在一个根shell
sudo -s
- 检查您当前的目录,确保您在正确的位置访问您下载的软件包
pwd
- 解压缩并解压缩(“解开”)AIR文件
tar -zxvf /path/air-1.2.8.tar.gz
- 如果你愿意,这是阅读README.txt文件的好时机
- 切换到您的AIR目录
cd /path/air-1.2.8
- 运行安装脚本
./install-air-1.2.8
AIR GUI
请注意,AIR在所有Linux发行版上都不起作用。 请参阅sourceforge.net和README.txt文件中的项目信息,以获取已知支持的distibutions列表 - 我正在使用不在列表中的Ubuntu。 Ubuntu仍然可以运行AIR,但是某些功能不可用。 既然您已成功下载并安装了应用程序,请在终端中键入“air” ,在root shell中运行AIR。 AIR将运行一系列检查,GUI将自动启动。
花一点时间来熟悉AIR GUI。 请注意按钮和选项与终端可以使用的各种dd命令的关联。
使用AIR创建dd映像
对于此练习,我们将在根文件夹中创建一个.jpg的dd映像,并将其复制到CD-ROM中。 AIR将运行幕后命令,创建映像并将其复制到CD-ROM中。 (在一个真实的情况下,这个.jpg可以很容易地代表一个妥协的硬盘驱动器或其他证据)。
首先,选择要映像的源设备或文件。 这可以是特定的驱动器/分区,诸如.jpg,文件夹或计算机上的任何其他项目的文件。 我们将选择/root/ectf.jpg这是原始文件。
接下来,选择要复制图像的目标设备/文件。 我们将选择代表CD / DVD驱动器的/ dev / hdc。
[注意,选择源和目标设备/文件可以通过几种不同的方式完成:
A.从工具栏中的下拉列表中选择源/目的地 - 如果使用不受支持的Linux发行版,则可能不可用
B.单击文件夹按钮浏览系统上的文件夹
C.点击应用程序底部的所需“连接设备”按钮,并将其设置为源或目的地
D.在源/目的地窗口中键入已知路径]
在识别源和目的地后,选择源和目标设备/文件所需的块大小。 建议这些匹配。 此步骤需要了解您的源设备/文件以及对块大小的了解。 [通过网页搜索可以找到关于块大小的一般信息]。
最后,您将看到一些选项来定制您的图像。 在这里,您可以选择设备/文件压缩,哈希方法,以及是否要验证散列帖子图像。
此时,您已经确定了创建dd映像的所有必要条件。 单击“开始”,让AIR执行其余操作。 单击“显示状态窗口”可查看AIR在后台运行的命令。 状态窗口将显示详细的日志记录摘要。 这是您可以查看数据传输状态和哈希验证结果的地方。
重要信息:散列值必须相同,以确保您具有源设备/文件的精确dd映像。
恭喜! 您刚刚使用自动映像和还原GUI前端应用程序创建了一个dd映像。
