33

Так что же происходит при добавлении conv=sync,noerror имеет значение при резервном копировании всего жесткого диска в файл образа? Является ли conv=sync,noerror обязательным требованием при проведении судебно-медицинской экспертизы? Если да, то почему это так со ссылкой на linux fedora?

Редактировать:

Итак, если я выполняю dd без conv=sync,noerror , и dd сталкивается с ошибкой чтения при чтении блока (например, размером 100M), dd просто пропускает блок 100M и читает следующий блок без записи чего-либо (dd conv=sync,noerror записывает нули в 100М выходных данных - так как насчет этого случая?)?

И если хеш оригинального жесткого диска и выходного файла отличается, если выполняется без conv=sync,noerror? Или это только когда произошла ошибка чтения?

2 ответа2

37

conv=sync указывает dd заполнять каждый блок слева нулями, так что если из-за ошибки не удается прочитать полный блок, сохраняется полная длина исходных данных, даже если не все данные могут быть включены в изображение. таким образом, вы, по крайней мере, знаете, насколько повреждены данные, что может дать вам криминалистические подсказки, и если вы вообще не можете сделать снимок из-за плохих блоков или чего-то еще, вы не сможете проанализировать какие-либо данные. некоторые лучше, чем ничего.

conv=sync,noerror необходим для предотвращения остановки dd при ошибке и выполнения дампа. conv=sync в значительной степени бессмысленно без ошибки.

http://linuxcommand.org/man_pages/dd1.html

http://vlinux-freak.blogspot.com/2011/01/how-to-use-dd-command.html

30

dd conv=sync,noerror (или conv=noerror,sync) повреждает ваши данные.

В зависимости от обнаруженной ошибки ввода-вывода и используемого размера блока (больше, чем размер физического сектора?), Входные и выходные адреса фактически не синхронизируются, а заканчиваются неправильными смещениями, что делает копию бесполезной для образов файловой системы и других вещи, где смещения имеют значение.

Во многих местах рекомендуется использовать conv=noerror,sync при работе с плохими дисками. Я сам делал такую же рекомендацию. Это сработало для меня, когда мне пришлось восстанавливать плохой диск некоторое время назад.

Тем не менее, тестирование показывает, что это не совсем надежно.

Используйте losetup и dmsetup для создания устройства с A error B :

truncate -s 1M a.img b.img
A=$(losetup --find --show a.img)
B=$(losetup --find --show b.img)
i=0 ; while printf "A%06d\n" $i ; do i=$((i+1)) ; done > $A
i=0 ; while printf "B%06d\n" $i ; do i=$((i+1)) ; done > $B

Устройства петли A, B выглядят так:

# head -n 3 $A $B
==> /dev/loop0 <==
A000000
A000001
A000002

==> /dev/loop1 <==
B000000
B000001
B000002

Так что это A, B с увеличивающимися числами, которые помогут нам проверить смещения позже.

Теперь поместим между ними ошибку чтения, любезно предоставленную устройством отображения Linux:

# dmsetup create AerrorB << EOF
0 2000 linear $A 0
2000 96 error
2096 2000 linear $B 48
EOF

В этом примере создается AerrorB как в 2000 секторах A , за которыми следуют 2*48 секторов с ошибками, а затем 2000 секторов B

Просто чтобы проверить:

# blockdev --getsz /dev/mapper/AerrorB
4096
# hexdump -C /dev/mapper/AerrorB
00000000  41 30 30 30 30 30 30 0a  41 30 30 30 30 30 31 0a  |A000000.A000001.|
00000010  41 30 30 30 30 30 32 0a  41 30 30 30 30 30 33 0a  |A000002.A000003.|
[...]
000f9fe0  41 31 32 37 39 39 36 0a  41 31 32 37 39 39 37 0a  |A127996.A127997.|
000f9ff0  41 31 32 37 39 39 38 0a  41 31 32 37 39 39 39 0a  |A127998.A127999.|
000fa000
hexdump: /dev/mapper/AerrorB: Input/output error

Таким образом, он читает до A127999\n , так как каждая строка имеет 8 байтов, которые в сумме составляют 1024000 байтов, что составляет наши 2000 секторов по 512 байтов. Кажется, все в порядке ...

Это будет смешать?

for bs in 1M 64K 16K 4K 512 42
do
    dd bs=$bs conv=noerror,sync if=/dev/mapper/AerrorB of=AerrorB.$bs.gnu-dd
    busybox dd bs=$bs conv=noerror,sync if=/dev/mapper/AerrorB of=AerrorB.$bs.bb-dd
done

ddrescue /dev/mapper/AerrorB AerrorB.ddrescue

Результаты:

# ls -l
-rw-r--r-- 1 root root 2113536 May 11 23:54 AerrorB.16K.bb-dd
-rw-r--r-- 1 root root 2064384 May 11 23:54 AerrorB.16K.gnu-dd
-rw-r--r-- 1 root root 3145728 May 11 23:54 AerrorB.1M.bb-dd
-rw-r--r-- 1 root root 2097152 May 11 23:54 AerrorB.1M.gnu-dd
-rw-r--r-- 1 root root 2097186 May 11 23:54 AerrorB.42.bb-dd
-rw-r--r-- 1 root root 2048004 May 11 23:54 AerrorB.42.gnu-dd
-rw-r--r-- 1 root root 2097152 May 11 23:54 AerrorB.4K.bb-dd
-rw-r--r-- 1 root root 2097152 May 11 23:54 AerrorB.4K.gnu-dd
-rw-r--r-- 1 root root 2097152 May 11 23:54 AerrorB.512.bb-dd
-rw-r--r-- 1 root root 2097152 May 11 23:54 AerrorB.512.gnu-dd
-rw-r--r-- 1 root root 2162688 May 11 23:54 AerrorB.64K.bb-dd
-rw-r--r-- 1 root root 2097152 May 11 23:54 AerrorB.64K.gnu-dd
-rw-r--r-- 1 root root 2097152 May 11 23:54 AerrorB.ddrescue

По размерам файлов вы можете сказать, что для некоторых размеров блоков все не так.

Контрольные суммы:

# md5sum *
8972776e4bd29eb5a55aa4d1eb3b8a43  AerrorB.16K.bb-dd
4ee0b656ff9be862a7e96d37a2ebdeb0  AerrorB.16K.gnu-dd
7874ef3fe3426436f19ffa0635a53f63  AerrorB.1M.bb-dd
6f60e9d5ec06eb7721dbfddaaa625473  AerrorB.1M.gnu-dd
94abec9a526553c5aa063b0c917d8e8f  AerrorB.42.bb-dd
1413c824cd090cba5c33b2d7de330339  AerrorB.42.gnu-dd
b381efd87f17354cfb121dae49e3487a  AerrorB.4K.bb-dd
b381efd87f17354cfb121dae49e3487a  AerrorB.4K.gnu-dd
b381efd87f17354cfb121dae49e3487a  AerrorB.512.bb-dd
b381efd87f17354cfb121dae49e3487a  AerrorB.512.gnu-dd
3c101af5623fe8c6f3d764631582a18e  AerrorB.64K.bb-dd
6f60e9d5ec06eb7721dbfddaaa625473  AerrorB.64K.gnu-dd
b381efd87f17354cfb121dae49e3487a  AerrorB.ddrescue

dd соглашается с ddrescue только для размеров блоков, которые оказались выровненными по нашей зоне ошибки (512 , 4K).

Давайте проверим необработанные данные.

# grep -a -b --only-matching B130000 *
AerrorB.16K.bb-dd:  2096768:B130000
AerrorB.16K.gnu-dd: 2047616:B130000
AerrorB.1M.bb-dd:   2113152:B130000
AerrorB.1M.gnu-dd:  2064000:B130000
AerrorB.42.bb-dd:   2088578:B130000
AerrorB.42.gnu-dd:  2039426:B130000
AerrorB.4K.bb-dd:   2088576:B130000
AerrorB.4K.gnu-dd:  2088576:B130000
AerrorB.512.bb-dd:  2088576:B130000
AerrorB.512.gnu-dd: 2088576:B130000
AerrorB.64K.bb-dd:  2113152:B130000
AerrorB.64K.gnu-dd: 2064000:B130000
AerrorB.ddrescue:   2088576:B130000

Хотя сами данные, кажется, присутствуют, они явно не синхронизированы; смещения полностью отклонены для bs = 16K, 1M, 42,64K ... только те, которые имеют смещение 2088576 являются правильными, что можно проверить по сравнению с исходным устройством.

# dd bs=1 skip=2088576 count=8 if=/dev/mapper/AerrorB 
B130000

Это ожидаемое поведение dd conv=noerror,sync? Я не знаю, и две реализации dd меня были, даже не согласны друг с другом. Результат будет очень бесполезным, если вы используете dd с выбором размера блока.

Выше было создано с использованием dd (coreutils) 8.25 , BusyBox v1.24.2 , GNU ddrescue 1.21 .

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .