dcfldd a menudo se recomienda en medicina forense para duplicar discos duros. Una de las razones por las que se prefiere dcfldd sobre dd es la función de hashing sobre la marcha.
P: ¿puedo realmente confiar en esta función para garantizar la integridad de mi copia, ya que el hashing se realiza en los datos de la memoria y no en los datos escritos en el disco?
Si crea y verifica el hash, detectará los errores que ocurrieron en la opción de escritura. Como señala, los errores de lectura no se pueden detectar, ya que se habrán producido antes del hash.
Según el blog de ShoeStringForensics , puede verificar la copia con:
dcfldd if=/dev/sdb1 vf=/media/disk/test_image.dd verifylog=/media/disk/verifylog.txt
Debes rehacer la copia si falla la comprobación de hash.
Lea otras preguntas en las etiquetas forensics