Se un bloccante hardware non può essere acquisito, un investigatore può usare DD senza un blocco di scrittura, sarebbe forensicamente valido?
La parte più importante dell'indagine forense è dimostrare oltre ogni dubbio l'integrità delle prove.
Un buon modo per farlo è confrontare l'hash dell'immagine del disco acquisita con l'hash del disco originale che avrebbe dovuto essere preso quando il disco è stato recuperato dalla scena del crimine. Molto probabilmente l'hash dovrebbe essere nel modulo di catena di custodia .
Se non è possibile utilizzare un blocco di scrittura hardware, suggerirei di avviare il sistema in questione in un CD Linux live che monta il disco in modalità di sola lettura. Un CD in diretta forense come Helix può farlo automaticamente.
Invece di utilizzare lo strumento standard dd , suggerirei dcfldd , una versione di dd specifica per uso forense. Ha un sacco di funzioni utili per le indagini forensi che lo strumento standard dd non fa, come l'hashing immediato.
Leggi altre domande sui tag forensics