[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:01390] Re: Forensic Acquisition Utilities
- To: port139@xxxxxxxxxx
- Subject: [port139:01390] Re: Forensic Acquisition Utilities
- From: Tanaka Souji <souta3@xxxxxxxxxxxxxx>
- Date: Fri, 12 Jul 2002 14:21:57 +0900
Forensic Acquisition Utilities の dd と nc を試してみました。
特徴としては...
・dd, nc 共にメモリダンプ機能が追加されている
・MD5 チェックサム機能が追加されている
・nc は直接ディスクイメージを読み取り可能(昔からできた?)
・zlib による圧縮が可能
・dd ではログの出力が可能
・md5sum.exe と volume_dump.exe も付属
結果
#比較用に Cygwin の dd, Netcat 1.1 for Win 95/98/NT/2000 を利用
(a)100Mデータ転送ローカル(Forensic) D: -> C: 18秒
dd.exe if=\\.\D: of=c:\temp\images\d_drive.img conv=noerror --sparse --md5sum --verifymd5 --md5out=c:\temp\images\d_drive.img.md5 --log=c:\temp\images\d_drive.log
(b)100Mデータ転送ローカル(Cygwin) D: -> C: 35秒
dd if=\\\\.\\d: of=/cygdrive/c/temp/images/cygwindd.img
(c)100Mデータ転送ネットワーク(Forensic) D: -> netcat 26秒
nc -v -n --csum md5 -I \\.\d: 192.168.0.1 3333
(d)100Mデータ転送ネットワーク(Cygwin) D: -> dd -> netcat 3分30秒
dd if=\\\\.\\d: |netcat 192.168.0.1 3333
nc(netcat) を利用してディスク イメージをリモートホストへ転送
するケースでは、圧倒的に時間が違います。
上記 a と b は 1台のハードディスクでパーティションを分け実験
していますので、物理的に 2台のハードディスクであればより早い
と推測されます。
c と d は 100BASE のネットワークを利用しています。
On Mon, 08 Jul 2002 23:26:33 +0900
Tanaka Souji <souta3@xxxxxxxxxxxxxx> wrote:
>Forensic Acquisition Utilities
>http://users.erols.com/gmgarner/forensics/
>
>live system の image をより早く転送できるように、dd や
>netcat などのツール群を改良したものが開発されているので
>すね。転送速度がどの程度違うのか試しておりませんが...
--
Tanaka Souji <souta3@xxxxxxxxxxxxxx>