Linux'ta DD ile İmaj Alma ve İmajın Canlandırılması
İmaj Almak Neden Önemli?
Öncelik ile neden format atılmış bir diskin imajını alıp recovery yapıyoruz da, direkt olarak bu diskimizin üzerinde recovery programlarını kullanmıyoruz ?
Çünkü kullandığımız programlar diskteki verilerin bilgilerinin tutulduğu metadata bilgilerini değiştirir.Bir programla kurtaramayacağımız verileri başka bir programla kurtarmak bazen mümkün olabiliyor.Bunun için orjinal diskin metadata larını değiştirmemek zarar vermemek için imaj alıp imaj üzerinden işlem yaparız.
İmaj Almak
Disklerimizin imajlarını fiziksel ve yazılımsal olarak alabiliriz.
Fiziksel İmaj Alma Cihazları
Bu cihazlar temel prensip olarak biri imajı alınacak disk diğeride imajın kaydedileceği boş disk olarak iki diski araçlara bağlayarak imaj alır.
Bu cihazlardan bazıları:
DIBS RAID (Rapid Action Imaging Device)
[caption id=”attachment_368” align=”alignnone” width=”451”]
DIBS RAID (Rapid Action Imaging Device)[/caption]
Image MASSter Solo III
[caption id=”attachment_369” align=”alignnone” width=”600”]
Image MASSter Solo III[/caption]
Logicube
[caption id=”attachment_370” align=”alignnone” width=”220”]
Logicube[/caption]
Tableau
[caption id=”attachment_371” align=”alignnone” width=”600”]
Tableau[/caption]
Yazılımsal İmaj Alma Programları
Safeback v3 Forensic Replicatorv 3.1 PDA Seizure v 3.0.1.35 Pdd (Palm dd, Windows, Free) Forensic Toolkit (FTK) v 1.50 WinHex v 12.0NTI Image (DOS) SMART (Linux Redhat) ByteBack (DOS) v 3 Anadisk v 2.10 ILook v 8.0.8AIR-(Linux-Free) Automated Image & Restore Forensic Explorer Sans
Imaj almaya yarayan bazı araçlar bunlardır.Bunların dışında ben bu yazımda linuxta DD ile imaj almayı anlatacağım.Bu yazıda linux ta bir usb belleğin imajını alıp o imajı ayağa kaldıracağız.
Linux’ta DD ile Imaj Alma
DD sabit bir diskin,usb belleğin,cd nin yada dvd nin imajını alabilir.Aldığınız bu imajı sisteme mount ederekte usb bilgisayarımıza takılıymış gibi açabilir yada verilerimizi kurtarabiliriz.
DD alt seviye kopyalama yapar yanı diskimizinboş alanlarda dahil tamamının kopyalayıp imajını alır.Yani disk boyutu ile imaj boyutu aynı olmalıdır.
DD komutu if ve of olmak üzere iki temel parametre alır. Diğer parametreler ise isteğe bağlıdır.If bilgisi burada kaynak aygıt/partition u, of ise hedefi göstermektedir.
Bunun dışında bs kaçar byte kopyalanacağını belirtir.conv=noerror ise hata alsan bile kopyalamaya devam et demeye yarar.
Öncelikle burada sudo fdisk -l komutu ile flash belleğimizin yolunu bulduk bunun dışında diske nerden yazılmaya başlandığı (Start 2048) bitişi (End=798176) Diskin formatı gibi bilgileri edindik.Burada sdb flash bellleğimizi sdb1 ise onun bir partition göstermektedir.Bu yüzden imaj alırken diskimizin tamamını yanı sdb nin imajını almalıyız.
Daha sonra ise sudo dd if=/dev/sdb of=/home/ahmetDesktop/disk.img bs=10M conv=noerror komutu ile diskimizin imajını masaüstüne aldım burada durum dd çalışırken bir çıktı vermez burada çalışmıyor diye kapatmayın iptal etmeyin işlem bittiğinde çıktı verecektir.Komutu çalıştırdığımızda bir değişiklik olmayacak aşağıdaki resimde gördüğünğünüz gibi sadece masaütüne ismini verdiğimiz disk.img gelecektir.
Işlem bittiğinde ise aşağıdaki gibi bir çıktı alacağız.Bu başarı ile imajımızın alındığını göstermektedir.
Artık flash belleğimizin imajını aldık şimdi bu imajı açmamız içini görmek istiyorsak imaj açma toolları kullanabiliriz.Ben linuxta aldığım imajı mount ederek açacağım.
Yukarıda gördüğünüz gibi önce Desktop(Masaüstü) a gelerek mkdir ile imajac diye boş bir klasör oluşturdum.sudo mount -o offset=1048576 /home/ahmet/Desktop/disk.img /home/ahmet/Desktop/imajac/ komutu ile de disk.img adlı imaj dosyamı imajac adlı klasöre mount ettim.Artık imajac klasörüne tıkladığımızda imajımıza ulaşıyoruz.Burada mount komutu ile ilgili offset önemli offset değerini kendimiz hesaplıyoruz ilk resimdeki sudo fdisk -l komutunun çıktısındaki diskin yazılmaya başlandığı değeri start değeri 2048 idi.Sector size 512 idi.Bu iki sayıyı çarptığımızda 2048x512=1048576 bizim offset değerimiz oluyor.Flash belleğimizin imajını aldık ve imajını açtık gördüğünüz gibi flash bellek boş çıktı.Daha önce silinen veriler var ise bunuda başka araçlar üzerinden imajımızdan ulaşabilriz.Böyle bir şeye gerek duyarsanız Linux’ta Scalpel ile Silinmiş Dosya Kurtarma adlı yazımı inceleyebilirsimiz.Umarım faydalı bir yazı olmuştur.Soru ve önerilerinizi yorum kısmından veya mail ile ulaşabilrisiniz.