dd no FAT32 USB montado para análise forense? [fechadas]

Navegue suas respostas
0

Eu quero clonar um USB para análise forense.

Eu quero saber de:

  • Esta é a minha principal questão : posso perder dados importantes se o USB (com uma partição fat32) estiver montado enquanto tento cloná-lo com dd ??

  • Devo usar dd ou usar outro utilitário melhor?

  • se a partição tiver, por exemplo, Veja esta estrutura:
    • mmcblk1 (partição inteira)
      • mmcblk1p1 (partição fat32)

Qual é a melhor maneira de clonar? todo com mmcblk1 ou mmcblk1p1 ?

Obrigado

    
por Milor123 22.02.2017 / 16:24

1 resposta

1

Em geral, desmonte todas as partições que você deseja clonar. Embora em teoria nada aconteça se ele estiver montado, a menos que você grave na partição, ou você possa montá-lo somente para leitura, se não estiver montado, você não precisa se preocupar. E qualquer gravação depois do incidente que você deseja analisar é ruim.

Se você quiser apenas analisar a partição FAT32, basta clonar mmcblk1p1 . Se você suspeitar que dados interessantes estão ocultos em algum lugar fora da partição, é melhor clonar mmcblk1 completamente. Em dúvida, clone mmcblk1 completamente: Para análise forense, é melhor prevenir do que remediar, e não são muitos dados extras.

Usando apenas dd está bem.

BTW, mmcblk dispositivos são normalmente cartões SD ou Flash em sistemas incorporados e não estão relacionados a USB.

    
por 24.02.2017 / 13:01

Tags

Mover seção Endnotes no MS Word M.2 Sandisk x400 não reconhecido pela instalação do Win10