En el análisis forense, los dispositivos de bloqueo de escritura deberían bloquear todas las operaciones que puedan cambiar el contenido del disco duro.
El concepto de un bloqueador de escritura es para garantizar la integridad forense de un sistema al mismo tiempo que < a href="http://www.forensicon.com/resources/articles/what-is-forensic-hard-drive-imaging/"> imágenes forenses de ese sistema. Esto se logra permitiendo las operaciones de solo lectura a un sistema de archivos, por lo tanto, un bloqueador de escritura evitará todas las operaciones de escritura al interceptarlos y traducirlos a una lectura de operación (si es posible) o simplemente deshabilitar la operación de escritura.
Por ejemplo, un bloqueador de hardware simplemente puede no incluir las conexiones físicas para escritura (como con USB) y un bloqueador de escritura de software puede interceptar operaciones de escritura, como no permitir que se cambien los metadatos cuando se ve una imagen.
El Instituto Nacional de Justicia de los Estados Unidos opera un programa de Pruebas de Herramientas Forenses Informáticas (CFTT) que identifica formalmente los siguientes requisitos de herramientas de nivel superior:
Un dispositivo de bloque de escritura de hardware (HWB) no debe transmitir un comando a Un dispositivo de almacenamiento protegido que modifica los datos en el almacenamiento. dispositivo.
Un dispositivo HWB devolverá los datos solicitados por una operación de lectura.
Un dispositivo HWB devolverá sin modificación cualquier información de acceso significativo solicitada desde la unidad.
Cualquier condición de error notificada por el dispositivo de almacenamiento al dispositivo HWB se informará al host.
Lea otras preguntas en las etiquetas forensics