Soy nuevo en el análisis forense y todavía no sé qué puedo hacer o no.
Me gustaría saber si tengo permiso para emitir el siguiente comando hdparm -I /dev/sdb donde /dev/sdb es el disco duro para duplicar?
La idea aquí es recopilar información sobre el disco duro antes de comenzar la duplicación. Por supuesto, en este caso, el disco duro está conectado a un dispositivo de bloque de escritura.
Depende.
hdparm -I le pregunta a la unidad, es decir, el firmware en la unidad responderá a este comando. Si considera que la unidad es inocente y solo el dato almacenado en la unidad es el problema, es probable que este comando no resulte perjudicial. Pero si se trata de un caso donde el firmware pueda ser manipulado , entonces este comando podría cambiar la información. Lo que hubiera sido importante para el análisis forense.
Lea otras preguntas en las etiquetas forensics