Так что я делаю судебную проверку инструментов с несколькими инструментами и операционными системами. Я начал в Linux с использованием dd, и мне нужно использовать два других инструмента: FTK Imager и ProDiscover; обе программы на базе Windows. Проблема, с которой я сталкиваюсь, заключается в том, что у меня нет блокировщика записи; что будет эквивалентно 'nosuid, nodev, nofail, noauto' в Windows?
1 ответ
0
Сделать USB-устройства доступными только для чтения
Еще одна модификация реестра может быть направлена на то, чтобы Windows воспринимала новые подключенные USB-устройства как устройства только для чтения, предотвращая случайные записи. Я не сторонник того, чтобы это заменило физический блокировщик записи - на самом деле, есть несколько сообщений о том, что Windows не соблюдает этот параметр и не разрешает запись на некоторые USB-устройства (хотя я не наблюдал такого поведения напрямую). Однако этот параметр может быть реализован как часть разумного многоуровневого подхода, который поможет вам доказать, что вы предприняли все возможные меры, чтобы предотвратить случайные записи в прилагаемые доказательства и т.д.
Чтобы реализовать эту функцию, вам нужно внести несколько изменений в свой реестр, как показано ниже:
Откройте реестр и перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control. Если он еще не существует, создайте новый ключ с именем "StorageDevicePolicies". Если он еще не существует, создайте новый Dword с именем "WriteProtect" и установите значение 1 (где 1 означает, что ОС будет рассматривать новые подключенные USB-устройства как устройства только для чтения, а 0 означает, что запись разрешена). Отключить автомонтирование
Windows с радостью установит для вас все новые устройства хранения данных, что может быть плохо. Я предпочитаю явно определять, какие устройства хранения данных монтируются на моей рабочей станции. Чтобы отключить функцию автоматического подключения, из командной строки (с повышенными привилегиями, если используется Windows 7/Vista) либо:
запустите diskpart и один раз в приглашении введите: автоматическое отключение или выполните автономную команду: mountvol /N или установите HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MountMgr\NoAutoMount равным 1 в реестре (вы увидите, что эта запись изменится соответствующим образом, если Вы используете одну из ранее упомянутых команд).