鉴证科副本
鉴证科副本
提问于 2015-09-19 16:13:37
在取证中,通常推荐使用dcfldd复制硬盘驱动器。dcfldd比dd更受欢迎的原因之一是它具有即时散列功能。
问:我真的可以依靠这个特性来确保我的拷贝的完整性,因为散列是在内存中的数据上执行的,而不是写在磁盘上的数据吗?
回答 1
Security用户
发布于 2015-09-19 16:56:32
如果创建并验证哈希,它将检测到发生在写选项上的错误。正如您所指出的,无法检测到读取错误,因为它们将发生在散列之前。
根据鞋类取证博客,您可以使用以下方法验证副本:
dcfldd if=/dev/sdb1 vf=/media/disk/test_image.dd verifylog=/media/disk/verifylog.txt如果散列检查失败,则应重做副本。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/100659
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号