Ir para o conteúdo
ou

Software livre Brasil

Tela cheia

Pipe Viewer - Visualizando o progresso da transferencia de uma imagem forense

31 de Dezembro de 2010, 0:00 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 469 vezes

O Pipe Viewer como o prórpio nome já diz é um visualizador de um pipeline e através dele é possível monitorar a transferência de dados entre processos com uma barra de progresso.

Abaixo temos a transferência da imagem de um pen drive de 2GB por uma rede.

 

Indentificando o pen drive.

root@user# hwinfo --disk --short
disk:                                                          
/dev/sdc             Kingston DT101 II
/dev/sdb             SAMSUNG HD103UJ
/dev/sda             SAMSUNG HD502HJ

 

Preparando a máquina forense para receber o hash sha512 da imagem.

root@computer4en6# nc -q 1 -l -p 6969 | dd of=PENDRIVE.img.sha512
0+1 registros de entrada
0+1 registros de saída
139 bytes (139 B) copiados, 103,118 s, 0,0 kB/s

 

Enviando para máquina forense o hash sha512 da imagem.
root@user#  sha512sum /dev/sdc | nc -w 1 10.0.0.4 6969

 

Visualizando na máquina forense o hash sha512 da imagem.
root@computer4en6# cat PENDRIVE.img.sha512
fa61fc500006afcd0c41a3b90db6d9b2f947bb7e9210f6e5bcb02ad3265eb4771cecedc8063c994bdfd135291fe43517bb01c54ee3fb0b3cc7d8e497130f1cdd  /dev/sdc

 

Preparando a máquina forense para receber a imagem do pen drive. O Pipe Viewer é utilizado para visualizar a troca de dados entre o NetCat e o DD, onde foi dado a barra de progresso o título de FORENSIC_IMAGE

root@computer4en6/tmp# nc -q 1 -l -p 6969 | pv -cN FORENSIC_IMAGE | dd of=PENDRIVE.img
FORENSIC_IMAGE: 1,85GB 0:02:51 [  11MB/s] [                                          <=>                                ]
2765280+1335451 registros de entrada
3870720+0 registros de saída
1981808640 bytes (2,0 GB) copiados, 171,384 s, 11,6 MB/s

 

Enviando para máquina forense a imagem do pen drive. O Pipe Viewer é utilizado aqui também para visualizar a troca de dados entre o DD e o NetCat, onde foi dado a barra de progresso o título de FORENSIC_IMAGE
root@user# dd if=/dev/sdc| pv -cN FORENSIC_IMAGE | nc -w 1 10.0.0.4 6969
FORENSIC_IMAGE: 1.85GB 0:02:48 [11.2MB/s] [                                  <=>                      ]
3870720+0 records in
3870720+0 records out
1981808640 bytes (2.0 GB) copied, 168.96 s, 11.7 MB/s

O hash sha512 combina com o armazenado no arquivo PENDRIVE.img.sha512.
root@computer4en6# sha512sum PENDRIVE.img
fa61fc500006afcd0c41a3b90db6d9b2f947bb7e9210f6e5bcb02ad3265eb4771cecedc8063c994bdfd135291fe43517bb01c54ee3fb0b3cc7d8e497130f1cdd  PENDRIVE.img


Tags deste artigo: forensic

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.

 Cancelar