Copia forense, dcfldd

1

dcfldd a menudo se recomienda en medicina forense para duplicar discos duros. Una de las razones por las que se prefiere dcfldd sobre dd es la función de hashing sobre la marcha.

P: ¿puedo realmente confiar en esta función para garantizar la integridad de mi copia, ya que el hashing se realiza en los datos de la memoria y no en los datos escritos en el disco?

    
pregunta Othman 19.09.2015 - 18:13
fuente

1 respuesta

1

Si crea y verifica el hash, detectará los errores que ocurrieron en la opción de escritura. Como señala, los errores de lectura no se pueden detectar, ya que se habrán producido antes del hash.

Según el blog de ShoeStringForensics , puede verificar la copia con:

dcfldd if=/dev/sdb1 vf=/media/disk/test_image.dd verifylog=/media/disk/verifylog.txt

Debes rehacer la copia si falla la comprobación de hash.

    
respondido por el Neil Smithline 19.09.2015 - 18:56
fuente

Lea otras preguntas en las etiquetas