Last Updated on 2. Juni 2016 by Thomas J. Fehr
Der ursprüngliche Unix-Befehl dd dient zum Kopieren von Datenströmen auf niedrigster Stufe. Mit der Hilfe von dd können Datenträger Images von CDs, Harddisks, USB-Sticks usw. erstellt werden. In den meisten Linux-Distributionen ist dd bereits vorhanden. Für Windows (32bit) gibt es auch ein Binary, das unter chrysocome.net heruntergeladen werden kann. Anders als die Unix-Version, bei der auch Datenströme konvertiert werden können, unterstützt die Windows-Version nur das Kopieren von Datenströmen.
Um eine Auflistung der vorhandenen Datenträger zu erhalten, wird folgender Befehl verwendet:
dd --list
Als Output erhalten wir eine Auflistung der vorhanden Datenträger:
Um nun ein Image des Laufwerks f:\ zu erstellen:
dd if=\\.\Volume{bae40a24-91cd-11e0-804b-080027ffca15} of=c:\tmp\forensic.img --progress
Mit diesem Befehl wird nun dd das gesamte Laufwerk f:\ als Imagedatei im Verzeichnis c:\tmp speichern.
- if= definiert das Inputfile / den Datenträger der kopiert werden soll
- of= definiert das Outputtfile / den Datenträger der beschrieben werden soll
- bs= definiert die Blockgrösse, welche standardmässig auf 512 gesetzt ist
- – -progress zeigt die Anzahl der bereits kopierten Blocks an (nur unter Windows vorhanden)
Um unter Windows auf die erstellte Imagedatei zuzugreifen, braucht es ein Tool das dieses Image wieder als Laufwerk einbinden kann.
Dazu eignen sich die Tools:
FileDisk
p2-explorer
Ein nettes Tool zum einbinden von Images ist „OSFMount“.