Ddによる複製 2004/05/24 伊原秀明(Port139).

Slides:

Advertisements

Similar presentations

The Autopsy Forensic Browser 2003/08/26 伊原秀明 (Port139)

Advertisements

1 Layout Utilities の紹介 Layout Utilities とは、お客様のプログラムに流し込み印刷を簡単に組み込めるソフトウエア開発ツールです無償流し込み印刷の例.

目次このドキュメントについて・・・前提条件……………………………………… 2

Virtual Editionのご紹介 2012年12月12日.

Windows HPC Server を使ってみる

実習１：コマンドシェルの使い方.

TeX で数式を書くための PowerPoint アドイン Ver (2011/06/26) Ver. 0.1　(2007/5/30)

確定日付 2003/05/24 伊原秀明(Port139).

理学院宇宙理学専攻惑星物理学研究室修士 2 年徳永義哉

安全なログオン手順 2004/08/26 Port139 伊原秀明.

揮発性情報 2003/05/25 伊原秀明(Port139).

計算機工学III オペレーティングシステム #14 ファイル：より進んだファイルシステム 2006/07/21 津邑公暁

文字列検出ツール "istrings" の使い方

Windows 7 におけるデフォルトユーザープロファイルのカスタマイズ方法

Linux インストール　　　　　のための基礎知識物理実験 I 情報実験第9回 2003/12/12 中神　雄一.

物理実験 I 情報実験第9回 2004/12/10 小西丈予 2003/12/12 中神雄一

物理実験 I 情報実験第9回 Modified 2005/12/2 徳永義哉Original 2003/12/12 中神雄一

スキルチェック Unix編.

Virtual Editionのご紹介（株）ネットジャパン　法人営業部 2012年7月18日 1.

TeX で数式を書くための PowerPoint アドイン Ver. 0.1　(2007/5/30)

解析サーバの現状と未来 2006/07/18 衛星データ処理勉強会村上弘志現状のシステム構成など統合解析環境としての整備

WagbyR6.5 Update 12 PPT版更新情報

削除されたファイルの復元 2004/05/26 伊原秀明(Port139).

EGSに対応した粒子軌跡と計算体系の3次元表示ソフト - CGVIEW -

NTFS 2004/05/24 伊原秀明(Port139).

ライブ・システムの複製 Rev 0.3 dd.exe、md5sum.exeは以下のURLにあるツールを利用

Debian GNU/Linux ー Linuxインストールに必要な基礎知識ー三上彩鈴木倫太郎

(original Takagi & Saito, 2007)

文字化けの背景を知る.

小型デバイスからのデータアクセス情報処理系論第5回.

Windows Server 2008 フェールオーバークラスタにおけるディスク障害の対処方法

第７章　データベース管理システム７．１データベース管理システムの概要７．２データベースの格納方式７．３問合せ処理.

LogStructuredFileSystem Servey

実習１：コマンドシェルの使い方.

Microsoft Office 2010 クイックガイド～応用編～

担当：青木義満情報工学科　3年生対象　専門科目システムプログラミング第11回プロセス間通信4 仮想FTPの実現担当：青木義満

TA 高田正法 B10 CPUを作る 2日目 SPIMのコンパイル TA 高田正法

拡張ボリューム搭載NASのご紹介。 + の悩みを解決するデータ管理筐体台数の増加全体の50％ディスク管理方法に見る

データを復元不可能な状態まで完全抹消データを復元不可能な状態まで完全抹消完全抹消ソフトです！２０１７年６月２３日（金）新発売

Virtual Editionのご紹介 2012年7月26日.

建設・建築現場のデータもクラウドへ自動バックアップ！

Office IME 2010 を使う.

SPARS-J デモ山本哲男立命館大学情報工学部 2018/12/1 SPARS-J デモ.

他のプロセスにあたえる影響が少ない実行時ミラーリングシステム

KEK 波戸、平山最終変更テキスト：installation_guide.pdf

利用関係に基づく類似度を用いたJavaコンポーネント分類ツールの作成

プログラミング演習I 2003年6月25日（第10回）木村巌.

Broad Institute GenePattern

仮想メモリを用いた VMマイグレーションの高速化

単語登録(1) ◎ＭＳ-ＩＭＥの「単語登録」に、単語、語句、記号など自分がよく使うものを登録しておくと、便利である。

第7回授業計画の修正中間テストの解説・復習前回の補足（クロックアルゴリズム・PFF) 仮想記憶方式のまとめ特別課題について

EGSに対応した粒子軌跡と計算体系の3次元表示ソフト - CGVIEW -

3号館ネットワークプリンタ出力方法図 3号館（同セグメント含む） 3号館と別セグメントの建物（DHCPもこちら）プリンタドライバーを

Borland C++ のインストール教科書 pp

UNIX演習情報ネットワーク特論.

宇宙科学統合解析環境の構築とAstro-E2解析支援

インターネット　　　　　　　　　　　　サーバーの種類チーム　俺春.

第４回ファイル入出力方法.

Borland C++ のインストール.

~目次~ Ⅰ．動作環境 Ⅱ．ファイルのダウンロード Ⅲ．システムのインストール Ⅳ．初期設定 Ⅴ．アンインストール

UNIX演習情報ネットワーク特論資料.

UNIX演習情報ネットワーク特論資料.

UNIX演習情報ネットワーク特論資料.

プログラミング演習I 2003年7月2日（第11回）木村巌.

TeX で数式を書くための PowerPoint アドイン Ver. 0.1　(2007/5/30)

本当は消去できていない！？～データを完全消去する方法～

本当は消去できていない！？～データを完全消去する方法～

TeX で数式を書くための PowerPoint アドイン Ver. 0.1　(2007/5/30)

ユビキタスコンピューティングのためのハンドオーバー機能付きRMIの実装

単語登録(1) ◎ＭＳ-ＩＭＥの「単語登録」に、単語、語句、記号など自分がよく使うものを登録しておくと、便利である。

Presentation transcript:

ddによる複製 2004/05/24 伊原秀明(Port139)

ファイルシステムの複製 ddコマンドを利用し、ファイルシステム（HDD,パーティション）の内容を複製する HDD ファイルシステム(複製) Disk Image Disk Image Disk Image dd Image File © Hideaki Ihara(Port139).

dd の選択 dd コマンド UNIX環境,Cygwin環境は標準で含まれる Windowsには含まれない dcfl-dd 米国防総省（DoD）の拡張版ddコマンド Forensic Acquisition Utilities Windows用に移植された dd,nc,md5sum 利用時には安全なバイナリを準備 © Hideaki Ihara(Port139).

dcfl-dd Penguin Sleuth Bootable CD、F.I.R.E.に標準で含まれる http://prdownloads.sourceforge.net/biatchux/dcfldd-1.0.tar.gz 進捗状況、MD5値を確認できるコマンドラインはddと基本的に同じ dcfldd if=/dev/sda bs=512 conv=noerror © Hideaki Ihara(Port139).

Forensic Acquisition Utilities Windows 2000/XP対応 http://users.erols.com/gmgarner/forensics/ dd, nc, md5sum, volume_dump, wipe など証拠保全用のコマンド一式が含まれる稼働中(Live)システムのイメージ作成用 dd, nc をマルチスレッド対応に改良 NTFSスパースファイル(sparse file)に対応メモリダンプ機能を持つ Windows上で使うならこちらを利用！ © Hideaki Ihara(Port139).

dd 引数(1) if= 入力ファイル名を指定例)if=/dev/hda1 , if=\\.\c: of= 出力ファイル名を指定, 省略時は標準出力へ bs= ブロックサイズ指定,デフォルトは1ブロック 512byte bs=512 を指定すること Forensic Acquisition Utilitiesに含まれるdd.exeはデフォルト 4,096byte © Hideaki Ihara(Port139).

dd 引数(2) conv= コンバートオプションを指定 conv=noerror と指定することでエラーが発生しても処理を継続するエラー部分はゼロ(0)で埋められる ※ブロックサイズを大きく指定すると、失われるデータが大量に発生する！ © Hideaki Ihara(Port139).

dd コマンドライン例 Forensic Acquisition Utilitiesを利用する場合 Cドライブの内容を c.dd として保存 dd if=\\.\c: of=c.dd conv=noerror bs=512 ディスク1の内容を hdd01.dd として保存 dd.exe if=\\.\PhysicalDrive0 of=hdd01.dd conv=noerror bs=512 © Hideaki Ihara(Port139).

20GのHDDを複製すると,20Gのファイルができる！保存先の容量イメージファイルの保存先の空き容量に注意コピー元サイズ以上の空き領域が必要となるサイズ２０G サイズ２０G HDD Image File dd 20GのHDDを複製すると,20Gのファイルができる！ © Hideaki Ihara(Port139).

ネットワーク経由の複製 nc(netcat)を使いリモートホストへ転送異なるOS間での転送が容易に可能 unix→unix, unix→win, win→unix, win→win HDD nc nc Image File dd 出力ネットワーク経由で転送 © Hideaki Ihara(Port139).

保存先領域の消毒保存先は事前に“消毒”しておく完全削除ツール等を利用して「0」で埋める例）wipe.exe を利用する ddでも可能 dd if=/dev/zero of=/dev/hda © Hideaki Ihara(Port139).

複製の確認(1) ddで作成したイメージファイルは,ハッシュ値で複製元と同一であるかを確認できる複製元と複製したファイルが同じハッシュ値であれば正しく複製されている稼働中(Live)システムを複製した場合には、（大抵）一致しない HDD ハッシュ値同じ？ Image File © Hideaki Ihara(Port139).

複製の確認(2) イメージファイルが読み取り可能か確認を！失敗例) The Sleuth Kit にイメージを追加できない loop デバイスでマウントを試行してみる fsstat, mmlsコマンドでファイルシステムの内容が確認できるかテストする © Hideaki Ihara(Port139).

The Sleuth Kit と dd The Sleuth Kit を調査に利用する場合は、パーティション毎にイメージファイルを作成するか、ディスク単位で複製しパーティションを切り出す複数パーティションを含むイメージファイルの読み取りに未対応の為（Ver2.xから対応予定） HDD dd C: C:イメージファイル D: dd D:イメージファイル © Hideaki Ihara(Port139).

イメージファイルの圧縮 ddの出力を圧縮しては？出力先容量が足りない場合にのみ利用（まずは,十分な保存領域を用意すべき！）圧縮してもイメージ作成速度は向上しない圧縮は後からでも可能圧縮されたファイルを直接読みとれる解析ツールは今のところない？（展開が必要に） © Hideaki Ihara(Port139).