Si no se puede adquirir un bloqueador de hardware, ¿podría un investigador usar DD sin un bloqueador de escritura, sería forense?
La parte más importante de la investigación forense es demostrar, sin lugar a dudas, la integridad de su evidencia.
Una buena manera de hacer esto es comparar el hash de la imagen de disco adquirida con el hash del disco original que debería haberse tomado cuando el disco se recupera de la escena del crimen. Dicho hash debería estar probablemente en el formulario cadena de custodia .
Si no se puede usar un bloqueador de escritura de hardware, sugeriría iniciar el sistema en cuestión en un CD de Linux en vivo que monta el disco en modo de solo lectura. Un CD forense en vivo como Helix puede hacer esto automáticamente.
En lugar de utilizar la herramienta estándar dd , sugeriría dcfldd , una versión de dd específicamente para uso forense. Tiene un montón de características útiles para la investigación forense que la herramienta estándar dd no tiene, como el hashing sobre la marcha.
Lea otras preguntas en las etiquetas forensics