Thiago Teixeira

EN | PT

dd

Utilitário Unix de cópia byte a byte — usado para criar imagens forenses brutas.

Forense Digital e Resposta a Incidentes Nativo do SO CLI Em Estudo Linux macOS

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain

1 Reconhecimento

2 Armamento

3 Entrega

4 Exploração

5 Instalação

6 Comando e Controle

7 Ações sobre Objetivos

Defensor — Ciclo de RI

8 Detecção / Monitoramento

9 Contenção e Erradicação

10 Forense Pós-Incidente

Descrição

O dd é o utilitário Unix de cópia byte a byte, tradicionalmente a primeira ferramenta ensinada para aquisição forense em Linux. Variantes como dcfldd e dc3dd adicionam hash e progresso.

Flags importantes:

if= entrada, of= saída.
bs= block size (frequentemente 4M).
conv=noerror,sync continua em erros de leitura preenchendo com zeros para preservar offsets.
status=progress (GNU coreutils) mostra throughput.

Casos de uso

Imagem de disco de servidor Linux antes de reinstalar
Clonagem de USB de evidência em laboratório controlado
Limpeza (com if=/dev/zero ou /dev/urandom) — atenção!

Exemplo

sudo dd if=/dev/sda of=/mnt/evidence/sda.img bs=4M \
        conv=noerror,sync status=progress
sha256sum /mnt/evidence/sda.img > /mnt/evidence/sda.img.sha256