Copia forense, dcfldd

1

dcfldd è spesso raccomandato in forense per duplicare i dischi rigidi. Uno dei motivi per cui dcfldd è preferito su dd è la funzione di hashing al volo.

Q: posso davvero fare affidamento su questa funzione per garantire l'integrità della mia copia dal momento che l'hashing viene eseguito sui dati in memoria e non sui dati scritti sul disco?

    
posta Othman 19.09.2015 - 18:13
fonte

1 risposta

1

Se crei e verifichi l'hash, rileverà gli errori che si sono verificati sull'opzione di scrittura. Come fai notare, gli errori di lettura non possono essere rilevati poiché si sono verificati prima dell'hash.

In base al blog ShoeStringForensics , puoi verificare la copia con:

dcfldd if=/dev/sdb1 vf=/media/disk/test_image.dd verifylog=/media/disk/verifylog.txt

Dovresti ripetere la copia se il controllo hash fallisce.

    
risposta data 19.09.2015 - 18:56
fonte

Leggi altre domande sui tag