dc3dd

Kalilinux
この記事は約3分で読めます。

前々回(dd)、前回(dcfldd)に続いて、フォレンジクス前準備のコピー(証拠保全)作業を行うツールの話。

dd、dcfldd、dc3ddはほぼ同じ機能を持つツールで、後に行くほどフォレンクス向けの高機能となります。

dc3dd=dc3+dd

dc3:アメリカ国防総省DC3(Defense Cyber Crime Center)

3つのツールの比較表

項目dddcfldddc3dd
基本コピー機能
進捗表示
(オプションにstatus=progressを指定)
ハッシュ計算×
(同時計算可)

(同時計算可)
ハッシュログ出力×
複数出力
(同時コピー)
×
(一部可)
分割出力×
エラー処理強化
Verify
(コピー後検証)
××
(自動検証可能)
開発主体GNUDoD DCFLDoD DC3

つまり “dc3dd” は、 “dcfldd” に比べて、自動検証を行ってくれるという利点があります。

ヘルプ表示

15-Forensics ー Digital Forensics ー dc3dd

にてヘルプが表示されます。

help
--help

ヘルプは “dc3dd –help” でも表示されます。

実行

まずはコピー元の確認を行います。

コピー元の確認

今回もコピー元には、15年前くらいに使っていた32GBのUSBメモリを使用します。

USB

lsblkコマンドでファイル名を確認します。

lsblk

ターゲットのファイル名は、 “/dev/sda” です。

デスクトップにマウントされている名称ではありません。

コピー実行

下記構文にてコピーを実行します。

ハッシュは複数の指定が可能です。

下の例ではハッシュアルゴリズムは、md5とsha256の2種類設定しています。

実行結果

実行結果です。32GB分のコピー&検証処理に26分かかりました。

copy

ハッシュ値と検証結果の表示

input時とoutput時でハッシュ値を計算し、それを比較検証しています。

ハッシュ値が一致しているので行頭に {OK} の表示が出ています。

コピーとログの確認

コピーとログが生成されています。

result

ログ表示

ログでも同じ表示です。

log

補足)実行手順のまとめ

ツール内で行われているコピー手順をまとめると以下の通りです。

まとめ

これまで、ほぼ同機能の “dd” コマンド“dcfldd” ツール、 “dc3dd” ツールを取り上げました。

この3者のうちでは “dc3dd” が、本番のフォレンジック作業で最も利便性が高いようです。

次回は、これを解析する “autopsy” を取り上げたいと思います。

コメント

タイトルとURLをコピーしました