Para a análise forense, a cópia bit-a-bit é de fundamental importância para a busca de evidências computacionais que venha a comprovar a inocência ou a culpa de um réu. Comumente ouvimos pessoas tecnicamente qualificadas explorando o comando dd como uma forma de realizar esta cópia. Mas será que um comando que roda em um sistema operacional tem a capacidade de descer a este nível de sinalização ?, um pouco de arquitetura computacional mostra que para os dados serem disponibilizados pelo hardware para o S.O eles são alocados em unidades chamadas de clusters ou blocos e seu tamanho varia de acordo com o sistema de arquivos bem como a capacidade total de armazenamento do HD , ou seja esse comando está mais para uma cópia bloco a bloco e não bit-a-bit. Para uma cópia bit-a-bit os fabricantes de duplicadores físicos garantem descer a esse nível . Como o valor destes duplicadores físicos não está ao alcance da maioria dos peritos ou curiosos, o comando dd é realmente o que se aproxima mais do que realmente queremos.
Vejamos como o dd é usado..
# dd if=/dev/hda1 of=/home/imagem.img
Para visualizar o processo use:
# watch df -h
Sempre calcule o hash de sua imagem:
# md5sum imagem
# ef929460b3731851259137194fe5ac47 imagem
