dcfldd è spesso raccomandato in forense per duplicare i dischi rigidi. Uno dei motivi per cui dcfldd è preferito su dd è la funzione di hashing al volo.
Q: posso davvero fare affidamento su questa funzione per garantire l'integrità della mia copia dal momento che l'hashing viene eseguito sui dati in memoria e non sui dati scritti sul disco?
Se crei e verifichi l'hash, rileverà gli errori che si sono verificati sull'opzione di scrittura. Come fai notare, gli errori di lettura non possono essere rilevati poiché si sono verificati prima dell'hash.
In base al blog ShoeStringForensics , puoi verificare la copia con:
dcfldd if=/dev/sdb1 vf=/media/disk/test_image.dd verifylog=/media/disk/verifylog.txt
Dovresti ripetere la copia se il controllo hash fallisce.
Leggi altre domande sui tag forensics