Hva skal jeg gjøre med .dd-filer? [lukket]
On februar 16, 2021 by adminKommentarer
- Hvilke verktøy bruker du for å analysere filen? Hva har du prøvd fram til nå?
Svar
Etter min erfaring er filtypen sjelden meningsfull. For å virkelig forstå hvilket format du spiller med, foreslår jeg at du prøver linux file
-kommandoen på denne filen. Det vil (kanskje) gi deg mer innsikt i hva du jobber med.
Jeg gjorde aldri picoCTF, men jeg vedder på at .dd
refererer til en raw disk image .
Nå har jeg bare noen få erfaringer med rettsmedisin (ja jeg tror det er mer rettsmedisin enn Reverse Engineering per si), men jeg tror du kan prøve testdisk og / eller PhotoRec (Et verktøy som leveres med testdisk). Denne programvaren lar deg bla gjennom harddiskpartisjoner og spille litt med den Merk at fordi det er et rå diskbilde, og hvis partisjonene ikke er kryptert, kan det være interessant informasjon å bruke vanlige / enkle verktøy som strings
.
Jeg håper dette vil være nyttig.
Svar
Dette er stasjonsbildefiler. Du laster dem inn i et verktøy for rettsmedisinsk analyse som FTK Imager eller EnCase for å analysere filsystemstrukturen og gjenopprette noen ledetråder. Hvis det bare er den slettede filen, dekkende du trenger, bruk Testdisk / PhotoRec som sagt ovenfor.
Svar
Det er vanskelig å svare på et slikt spørsmål uten tar en titt på selve filen, spesielt for utvidelser som ikke har en klar og vanlig brukstilfelle; Imidlertid vil jeg gjette at utvidelsen refererer til dd
unix kommandolinjeprogram som brukes til å lese og lese skrive rådata fra forskjellige kilder og til forskjellige destinasjoner. Det er ofte hvordan du tar en dump av en blokk eller en karakterenhet og lagrer den for eksempel som en fil.
Legg igjen en kommentar