{"id":57,"date":"2009-05-11T11:18:28","date_gmt":"2009-05-11T14:18:28","guid":{"rendered":"http:\/\/www.eriberto.pro.br\/blog\/?p=57"},"modified":"2011-11-11T09:39:00","modified_gmt":"2011-11-11T12:39:00","slug":"imagens-de-hd-com-dd-copia-bit-a-bit","status":"publish","type":"post","link":"https:\/\/eriberto.pro.br\/blog\/2009\/05\/11\/imagens-de-hd-com-dd-copia-bit-a-bit\/","title":{"rendered":"Imagens de HD com dd: c\u00f3pia bit a bit?"},"content":{"rendered":"

Bem, resolvi fazer aqui um coment\u00e1rio simples mas que poder\u00e1 ser \u00fatil para algu\u00e9m (nem que seja academicamente). Acabo de ler em um blog a seguinte frase:<\/p>\n

[…] capturar uma imagem forense, […] comando dd. Esse comando realiza a c\u00f3pia exata (bit a bit) da origem para o destino. (sic)<\/em><\/p><\/blockquote>\n

Ocorre que, como um comando, o dd est\u00e1 sob um sistema operacional. Todo sistema operacional, para acessar um disco ou m\u00eddia (HD, CD, DVD, pendrive) precisa solicitar ao hardware que disponibilize os dados. A controladora de um disco s\u00f3 consegue acessar setores. Cada setor de HD possui 512 bytes hoje em dia (h\u00e1 um esfor\u00e7o para que isso mude, em breve, para 4096 bytes, o que possibilitaria a constru\u00e7\u00e3o de discos maiores que 2 TB). J\u00e1 o filesystem, depois de acessar os setores, disponibiliza os blocos (ou clusters, como a M$ os chama). Assim, n\u00e3o existe a possibilidade de c\u00f3pia bit a bit. A c\u00f3pia do dd \u00e9 feita setor a setor e \u00e9 por isso que o valor default do par\u00e2metro bs \u00e9 512. Caso voc\u00ea queira ler o primeiro bit do HD, o sistema operacional carregar\u00e1 o primeiro setor, ler\u00e1 o primeiro bit e descartar\u00e1 o restante das informa\u00e7\u00f5es. Para ler o segundo bit, ocorrer\u00e1 uma a\u00e7\u00e3o similar. Em outras palavras, uma c\u00f3pia bit a bit seria algo extremamente desgastante e demorado. Para testar isso, insira um pendrive pequeno e utilize os seguintes comandos (considerando o pendrive como sendo \/dev\/sdb):<\/p>\n

# time dd if=\/dev\/sdb of=\/tmp\/pen.dd<\/pre>\n
# time dd if=\/dev\/sdb of=\/tmp\/pen.dd bs=1<\/pre>\n
No primeiro caso, fizemos uma c\u00f3pia setor a setor. Isso \u00e9 o normal. No segundo, fizemos byte a byte. Ou seja: lemos todo o setor, pegamos 1 byte e, depois, descartamos o resto. Veja a diferen\u00e7a de tempo. No meu caso, com um pendrive de 64 MB, a primeira op\u00e7\u00e3o demorou 9 segundos. A segunda op\u00e7\u00e3o demorou 4 minutos e 13 segundos. Imagine se fosse bit a bit…<\/p>\n
Esse erro \u00e9 muito comum, pois constantemente ouvimos pessoas falando em c\u00f3pia bit a bit ou byte a byte. Realmente, no dd, h\u00e1 uma op\u00e7\u00e3o de ler x bytes por bloco. Mas, mesmo assim, setores inteiros dever\u00e3o ser carregados a partir do HD para que, depois, sejam extra\u00eddos x bytes.<\/p>\n
Apenas para lembrar, este blog \u00e9 reservado para assuntos t\u00e9cnicos de inform\u00e1tica. Para assuntos casuais, possuo outro blog cujo endere\u00e7o \u00e9 http:\/\/www.eriberto.pro.br\/blog2<\/a><\/em><\/span>.<\/p>\n","protected":false},"excerpt":{"rendered":"
Bem, resolvi fazer aqui um coment\u00e1rio simples mas que poder\u00e1 ser \u00fatil para algu\u00e9m (nem que seja academicamente). Acabo de ler em um blog a seguinte frase: […] capturar uma imagem forense, […] comando dd. Esse comando realiza a c\u00f3pia exata (bit a bit) da origem para o destino. (sic) Ocorre que, como um comando,… Continue a ler »Imagens de HD com dd: c\u00f3pia bit a bit?<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","footnotes":""},"categories":[54,13,11,20],"tags":[372,127,125,105,626,293,373,623],"class_list":["post-57","post","type-post","status-publish","format-standard","hentry","category-forense-computacional","category-hardware","category-sistema-operacional","category-curiosidades","tag-copia","tag-dcfldd","tag-dd","tag-forense","tag-forense-computacional","tag-hash","tag-imagem","tag-seguranca"],"_links":{"self":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts\/57","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/comments?post=57"}],"version-history":[{"count":0,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/posts\/57\/revisions"}],"wp:attachment":[{"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/media?parent=57"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/categories?post=57"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eriberto.pro.br\/blog\/wp-json\/wp\/v2\/tags?post=57"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}