Wat te doen met .dd-bestanden? [gesloten]
Geplaatst op februari 16, 2021 door adminOpmerkingen
- Welke tools gebruik je om het bestand te analyseren? Wat heb je tot nu toe geprobeerd?
Antwoord
Uit mijn ervaring zijn bestandsextensies zelden zinvol. Om echt te begrijpen met welk formaat je speelt, raad ik je aan om het linux file
commando voor dit bestand te proberen. Het geeft je (misschien) meer inzicht in waar je mee werkt.
Ik heb nooit picoCTF gedaan, maar ik wed dat de .dd
verwijst naar een onbewerkte schijfkopie .
Nu heb ik maar een paar ervaring in forensisch onderzoek (ja, ik denk dat het meer forensisch onderzoek is dan reverse engineering), maar ik denk dat je testdisk en / of PhotoRec (een tool die wordt meegeleverd met testdisk) zou kunnen proberen. Met deze software kun je door partities op de harde schijf bladeren en er een beetje mee spelen Merk op dat omdat het een onbewerkte schijfimage is, en als de partities niet versleuteld zijn, het gebruik van gewone / eenvoudige tools zoals strings
wat interessante informatie zou kunnen onthullen.
Ik hoop dat dit nuttig zal zijn.
Answer
Dit zijn drive-afbeeldingsbestanden. Je laadt ze in een tool voor forensische analyse zoals FTK Imager of EnCase om de structuur van het bestandssysteem te analyseren en enkele aanwijzingen te herstellen. Als het alleen het verwijderde bestand is covery die je nodig hebt, gebruik Testdisk / PhotoRec zoals hierboven vermeld.
Answer
Het is moeilijk om zon vraag te beantwoorden zonder het bestand zelf bekijken, vooral voor extensies die geen duidelijk en algemeen gebruik hebben; Ik vermoed echter dat de extensie verwijst naar het dd
unix-opdrachtregelprogramma dat wordt gebruikt om te lezen en schrijf onbewerkte gegevens uit verschillende bronnen en naar verschillende bestemmingen. Het is vaak hoe je een dump van een blok of een character device neemt en het bijvoorbeeld als een bestand opslaat.
Geef een reactie