Ребята, я хочу клонировать USB для проведения судебно-медицинской экспертизы.

Я хочу знать о:

  • Это мой главный вопрос: могу ли я потерять важные данные, если USB (с разделом fat32) подключен, когда я пытаюсь клонировать его с помощью dd??

  • Должен ли я использовать dd или может использовать другую лучшую утилиту?


  • если раздел имеет, например, см. эту структуру:
    • mmcblk1 (весь раздел)
      • mmcblk1p1 (раздел fat32 )

Какой лучший способ клонировать? целое с mmcblk1 или mmcblk1p1?


Спасибо

1 ответ1

1

В общем, размонтируйте любые разделы, которые вы хотите клонировать. Хотя теоретически ничего не произойдет, если он смонтирован, если вы не пишете в раздел, или вы можете смонтировать его только для чтения, если он вообще не смонтирован, вам не о чем беспокоиться. И любые записи после инцидента, который вы хотите проанализировать, плохие.

Если вы хотите проанализировать только раздел FAT32, достаточно клонировать mmcblk1p1 . Если вы подозреваете, что интересные данные скрыты где-то за пределами раздела, лучше полностью клонировать mmcblk1 . Вне всякого сомнения, полностью mmcblk1 : для криминалистического анализа лучше быть в безопасности, чем сожалеть, и это не так уж много лишних данных.

Использование просто dd хорошо.

Кстати, устройства mmcblk - это, как правило, SD-карты или флэш-память во встроенных системах, а не связанные с USB.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .