Startseite‎ > ‎IT-Forensik‎ > ‎Datenräger-Sicherung‎ > ‎

Datenträgersicherung unter Linux

Sicherung der Platte mit dd:
dd if=/dev/sda conv=sync,noerror bs=4096 of=/dev/image.dd

"conv=sync,noerror" Lesefehler überspringen und mit Nullen füllen, so dass die Dateigröße dadurch nicht verändert wird.

"bs=4096" Blockgröße von 4096 Byte

Aufsplitten des Images in mehrere Teile:
dd if=/dev/sda bs=4096 conv=sync,noerror | split -a 3 -d -b 2048m - /dev/Imagename

"-d" Fortlaufende Nummerierung
"-a 3" Dateiendung mit 3 Zeichen
"-b 2048m" Aufsplitten des Images in Dateien von je 2 GB

Gleichzeitig das image auch komprimieren:
dd if=/dev/sda conv=sync,noerror | gzip | bs=4096 of=/mnt/imagename.gz

Das Komprimierte Image wiederherstelen:
cat /mnt/imagename.gz | gunzip | dd of=/dev/sda bs=4096

Falls das Image aus meheren alphabetisch/ nummerisch sortierten Teilen besteht:
cat /mnt/imagename* | gunzip | dd of=/dev/sda bs=4096



Sicherung der Platte mit dcfldd

Gleichzeitiges Erzeugen mehrerer Images:
dcfldd if=/dev/sda of=/dev/sdb/imagename1 of=/dev/imagename2

Aufsplitten des Images in mehrere Teile:
dcfldd if=/dev/sda bs=4096 conv=sync,noerror | split -a 3 -d -b 2048m - /dev/Imagename


Vorgehensweise

1. Die Prüfsumme der zu sichernden Platte erzeugen:
   md5sum /dev/sda1 > /mnt/Zielordner/Fall_Nr1_sda1.md5

2. Das Abbild der Platte erzeugen:
dcfldd if=/dev/sda bs=4096 conv=sync,noerror hashwindow=1000000 hashlog=/mnt/Zielordner/Fall_Nr1_sda1_hashlog.txt errorlog=/mnt/Zielordner/Fall_Nr1_sda1_errorlog.txt of=/mnt/Zielordner/Fall_Nr1_sda1.dd

3. Die Prüfsumme des erzeugten Abbildes berechnen und zu der beeits erzeugten Prüfsummendatei des Originals hinzufügen:
md5sum /mnt/Zielordner/Fall_Nr1_sda1.dd >> /mnt/Zielordner/Fall_Nr1_sda1.md5

4. Die Datei mit den beiden Prüfsummen ausgeben und die Prüfsummen vergleichen:
cat /mnt/Zielordner/Fall_Nr1_sda1.md5



Alternativ oder auch zusätzlich zu der MD5-prüfsumme könen auch SHA Prüfsummen gebildet werden.
Bp:
sha1sum /dev/sda1 > /mnt/Zielordner/Fall_Nr1_sda1.txt
sha256sum /dev/sda1 > /mnt/Zielordner/Fall_Nr1_sda1.txt
Comments