Sono nuovo nella medicina legale e non so ancora cosa posso fare o meno.
Vorrei sapere se posso rilasciare il seguente comando hdparm -I /dev/sdb dove /dev/sdb è il disco rigido da duplicare?
L'idea qui è di raccogliere informazioni sul disco rigido prima di iniziare la duplicazione. Ovviamente in questo caso, il disco rigido è collegato a un dispositivo di scrittura.
Dipende.
hdparm -I chiede all'unità, ovvero il firmware nell'unità risponderà a questo comando. Se si considera l'unità stessa innocente e solo i dati memorizzati sul disco il problema, questo comando probabilmente non danneggia. Ma se ti occupi di un caso in cui il firmware potrebbe essere manipolato allora questo comando potrebbe cambiare le informazioni che sarebbe stato importante per l'analisi forense.
Leggi altre domande sui tag forensics