O 'dd' funciona no nível físico ou no nível do sistema de arquivos?

dd simplesmente copia um fluxo de entrada de bytes para um fluxo de saída de bytes. Tanto a entrada quanto a saída devem ser um arquivo real. Não vai funcionar em um diretório. Portanto, no seu exemplo acima, se /path/to/usbdrive for um nó de dispositivo (ou seja, /dev/usb ou qualquer outro), ele fará uma cópia em nível de bloco, pois /dev/usb é um dispositivo de bloco. Ele copiará o conteúdo do arquivo que ainda estava lá nesse caso. Mas você não seria capaz de apontar o fluxo de entrada para o arquivo que você acabou de excluir porque você não teria mais controle sobre isso.

Ele copiará o conteúdo do arquivo excluído (supondo que não foi sobrescrito por ninguém). No entanto, no destino, você não poderá acessar esses conteúdos enquanto estiver acessando-os por meio do sistema de arquivos, e o sistema de arquivos não terá conhecimento do arquivo existente nesse espaço (desde que foi excluído).

Portanto, em termos de análise forense, o dd copiará todo o lixo com bits e pedaços de dados que estavam no dispositivo de origem.

Além disso, você precisa entender que sempre há um problema de fragmentação e seu arquivo pode não estar no espaço em disco contíguo. Isso cria mais complicações.

Espero que isso explique isso para você. Pelo menos se esta é uma questão teórica.

Por outro lado, se esta é uma questão prática, então eu acho que se você fornecer uma explicação melhor do que você está tentando alcançar, você obterá respostas mais detalhadas.