Agent Skills Finder
M

acquiring-disk-image-with-dd-and-dcfldd

par mukul975

acquiring-disk-image-with-dd-and-dcfldd aide les équipes d’audit de sécurité et les spécialistes forensiques à créer une image disque défendable, bit par bit, avec dd ou dcfldd, en s’appuyant sur la protection en écriture, la vérification par hachage et un workflow d’acquisition clair pour la réponse à incident et la gestion des preuves.

Étoiles0
Favoris0
Commentaires0
Ajouté9 mai 2026
CatégorieSecurity Audit
Commande d’installation
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill acquiring-disk-image-with-dd-and-dcfldd
Score éditorial

Cette compétence obtient 79/100, ce qui en fait un candidat solide pour les utilisateurs du répertoire qui ont besoin d’un guide d’acquisition disque en contexte forensique. Elle se déclenche clairement pour les travaux d’imagerie avec dd/dcfldd, propose un workflow conséquent et fournit assez de détails opérationnels pour réduire les approximations par rapport à une invite générique. Les utilisateurs doivent toutefois examiner soigneusement les commandes incluses avant de les exécuter sur des supports de preuve.

79/100
Points forts
  • Forte adéquation à la tâche : les métadonnées et la section « When to Use » ciblent clairement l’imagerie forensique bit par bit, la préservation des preuves et l’acquisition vérifiée.
  • Bonne profondeur opérationnelle : le contenu est conséquent, avec un workflow étape par étape, des blocs de code et une référence API couvrant les options dd et dcfldd, notamment la journalisation des hachages et la gestion des erreurs.
  • Le potentiel pour l’agent est réel : le script intégré et le fichier de référence montrent que la compétence vise à favoriser une acquisition reproductible et la vérification par hachage, pas seulement à expliquer le concept.
Points de vigilance
  • L’extrait montre un workflow tronqué et aucun commande d’installation, donc il peut être nécessaire d’examiner la compétence complète avant adoption.
  • Le script semble automatiser des opérations de stockage et de protection en écriture, ce qui est risqué en contexte forensique et exige une validation rigoureuse de l’environnement.
SecurityForensicsLinuxCliBashScriptsDdDcfldd
Vue d’ensemble

Présentation du skill acquiring-disk-image-with-dd-and-dcfldd

Le skill acquiring-disk-image-with-dd-and-dcfldd vous aide à créer une image disque ou d’un périphérique amovible, défendable sur le plan forensique, en bit à bit, à l’aide de dd ou dcfldd. Il est particulièrement adapté aux intervenants en réponse à incident, aux analystes en investigation numérique et aux missions de Security Audit où l’intégrité des preuves, la reproductibilité et la vérification par hachage priment sur la vitesse ou la simplicité.

Ce n’est pas un flux de sauvegarde générique. L’objectif est de conserver un périphérique source à l’identique, d’éviter toute écriture accidentelle et de produire une image accompagnée de hachages capables de résister à un examen. La valeur principale du skill acquiring-disk-image-with-dd-and-dcfldd est de garder le processus d’acquisition centré sur l’identification du périphérique, la protection en écriture, l’imagerie et la vérification.

Cas d’usage idéal pour une acquisition forensique

Utilisez ce skill lorsque vous devez créer l’image d’un disque suspect, d’une clé USB ou d’une carte mémoire avant analyse. Il convient aux cas de Security Audit où vous avez besoin d’une trace d’acquisition reproductible et d’un artefact de փոխանցment clair pour l’examen ultérieur.

Ce qui le distingue

Le skill acquiring-disk-image-with-dd-and-dcfldd met l’accent sur une gestion pratique des preuves : ciblage en lecture seule, sélection rigoureuse de la source, journalisation des hachages et copie attentive aux erreurs. Il est plus adapté qu’un simple prompt quand il faut transformer la démarche en séquence opérationnelle.

Quand il n’est pas adapté

Ne l’utilisez pas pour des sauvegardes de fichiers courantes, des instantanés cloud ou le clonage d’un système en production lorsque la capture exacte au niveau des secteurs n’est pas nécessaire. Il est aussi mal adapté si vous ne pouvez pas brancher de bloqueur d’écriture ou si vous ne pouvez pas exécuter en toute sécurité des commandes privilégiées sur la station d’acquisition.

Comment utiliser le skill acquiring-disk-image-with-dd-and-dcfldd

Installer le skill et repérer le workflow

Installez le skill acquiring-disk-image-with-dd-and-dcfldd dans votre environnement de skills, puis ouvrez d’abord skills/acquiring-disk-image-with-dd-and-dcfldd/SKILL.md. Lisez ensuite references/api-reference.md pour la référence des options, et consultez scripts/agent.py si vous voulez comprendre la logique d’implémentation derrière l’énumération des périphériques, les vérifications en lecture seule et la gestion des hachages.

Donner au skill les bonnes informations d’entrée

Le acquiring-disk-image-with-dd-and-dcfldd usage fonctionne mieux si vous précisez :

  • le chemin du périphérique source, par exemple /dev/sdb
  • l’objectif de preuve, par exemple réponse à incident ou Security Audit
  • la disponibilité d’un blocage d’écriture matériel
  • le chemin de l’image cible et l’emplacement de stockage
  • si vous souhaitez la sortie standard de dd ou dcfldd avec journalisation des hachages

Une demande faible serait : « image ce disque ». Une demande plus solide serait : « Crée un plan d’acquisition forensique pour /dev/sdb sur Linux, utilise dcfldd si disponible, écris les hachages dans un fichier journal et inclue les étapes de vérification pour un Security Audit. »

Suivre un flux d’acquisition concret

Commencez par identifier le périphérique avec lsblk et vérifier qu’il s’agit bien de la bonne cible. Ensuite, assurez-vous de la protection en écriture, créez l’image du disque vers une destination disposant de suffisamment d’espace libre, puis vérifiez le hachage de l’image obtenue par rapport au journal d’acquisition. Pour un support endommagé, privilégiez des options comme conv=noerror,sync afin que le processus continue sans perdre l’alignement.

Lire les fichiers du dépôt dans le bon ordre

Pour adopter le plus vite possible le workflow, lisez :

  1. SKILL.md pour le déroulé de bout en bout
  2. references/api-reference.md pour les options de dd et dcfldd
  3. scripts/agent.py pour la structure des commandes et la logique de vérification

Cet ordre vous aide à transformer le skill acquiring-disk-image-with-dd-and-dcfldd en procédure exécutable plutôt qu’en simple concept.

FAQ du skill acquiring-disk-image-with-dd-and-dcfldd

Ce skill est-il réservé aux spécialistes de l’investigation numérique ?

Non. Le skill acquiring-disk-image-with-dd-and-dcfldd est utile à toute personne qui a besoin d’une image disque vérifiée et qui sait suivre des procédures Linux de base en ligne de commande. Les débutants peuvent l’utiliser à condition d’être attentifs au choix du périphérique et aux permissions.

Dois-je choisir dd ou dcfldd ?

Utilisez dd si vous voulez l’outil standard déjà présent sur la plupart des systèmes Linux. Utilisez dcfldd si vous avez besoin d’une journalisation de hachage intégrée, d’une sortie découpée ou d’un reporting plus adapté au contexte forensique. Si votre workflow dépend de pistes d’audit, dcfldd est généralement le meilleur choix par défaut.

En quoi est-ce différent d’un prompt classique ?

Un prompt classique peut expliquer le concept, mais il passe souvent à côté des détails opérationnels qui comptent dans le travail sur preuves. Ce skill ajoute une approche structurée du acquiring-disk-image-with-dd-and-dcfldd guide : quoi vérifier en premier, quelles options importent, et quelle sortie vous devez conserver.

Quelles sont les principales limites ?

Ce skill suppose une station d’investigation Linux, un accès root ou sudo, et un périphérique source clairement identifié. Si vous avez besoin d’une imagerie via interface graphique, de la gestion de volumes chiffrés ou de la collecte de preuves cloud, ce skill n’est pas le meilleur choix.

Comment améliorer le skill acquiring-disk-image-with-dd-and-dcfldd

Donner dès le départ un contexte digne d’une preuve

De meilleures entrées produisent de meilleurs plans d’acquisition. Indiquez s’il s’agit d’un Security Audit, d’une réponse à incident ou d’un entraînement, et précisez le type de périphérique, sa taille attendue et la présence éventuelle d’erreurs de lecture. Cela permet au skill acquiring-disk-image-with-dd-and-dcfldd de choisir des valeurs par défaut et un niveau d’avertissement pertinents.

Demander la sortie exacte dont vous avez besoin

Si vous avez besoin d’un rapport, demandez la séquence de commandes, la checklist de vérification et les enregistrements de hachage attendus. Si vous avez besoin d’un runbook, demandez une procédure étape par étape avec des points de décision pour le blocage en écriture, les erreurs de lecture et les images découpées. Des objectifs de sortie précis réduisent l’ambiguïté.

Surveiller les modes d’échec courants

Les risques principaux sont d’imager le mauvais périphérique, d’oublier la protection en écriture et de ne pas vérifier l’image après acquisition. Un autre problème fréquent consiste à demander une commande sans préciser la source, la destination ou les exigences de hachage. Les bons prompts nomment les trois.

Itérer après le premier brouillon

Si la première réponse est trop générique, demandez :

  • une version optimisée pour dcfldd
  • une version pour support endommagé avec conv=noerror,sync
  • une checklist de vérification pour l’examen de la chaîne de conservation
  • une checklist Security Audit plus courte pour usage sur le terrain

C’est le moyen le plus rapide de transformer le guide acquiring-disk-image-with-dd-and-dcfldd en workflow réellement exécutable et défendable.

Notes et avis

Aucune note pour le moment
Partagez votre avis
Connectez-vous pour laisser une note et un commentaire sur cet outil.
G
0/10000
Derniers avis
Enregistrement...