เหตุใดการเขียนบล็อกเกอร์จึงจำเป็นเมื่อมีการเมาท์ด้วยแบบอ่านอย่างเดียว?


10

สมมติว่าเรากำลังใช้รสชาติของ Linux และเราติดตั้งพาร์ติชันโดยใช้คำสั่งต่อไปนี้:

sudo mount -o ro /dev/sdc1 /mnt

พาร์ติชันควรจะเป็นแบบอ่านอย่างเดียวเพื่อให้ระบบปฏิบัติการและผู้ใช้ไม่สามารถเขียนไปยังดิสก์โดยไม่เปลี่ยนmountสิทธิ์

จากForensicsWiki :

ตัวบล็อกการเขียนคืออุปกรณ์ที่อนุญาตให้ได้รับข้อมูลบนไดรฟ์โดยไม่สร้างความเป็นไปได้ที่จะทำให้เนื้อหาของไดรฟ์เสียหายโดยไม่ได้ตั้งใจ พวกเขาทำสิ่งนี้โดยการอนุญาตให้คำสั่งอ่านส่งผ่าน แต่โดยการบล็อกคำสั่งเขียนดังนั้นชื่อของพวกเขา

นี่ดูเหมือนว่าจะเป็นเพียงเพื่อป้องกันไม่ให้เกิดอุบัติเหตุธง หน้าดังกล่าวยังระบุว่ามีคุณสมบัติเพิ่มเติมสำหรับตัวเขียนบล็อกบางตัวเช่นชะลอดิสก์ลงเพื่อป้องกันความเสียหาย แต่สำหรับเรื่องนี้สมมติว่ามันเป็นเพียงเรื่องง่ายที่สามารถบล็อกการเขียนเท่านั้น

หากคุณสามารถเมานต์ดิสก์ในโหมดอ่านอย่างเดียวจุดขายของบางอย่างเช่นตัวเขียนการเขียนคืออะไร นี่เป็นเพียงเพื่อช่วยป้องกันสิ่งต่าง ๆ เช่นคำสั่ง mount โดยไม่ได้ตั้งใจพร้อมสิทธิ์การเขียน (ข้อผิดพลาดของผู้ใช้ซึ่งไม่ได้รับอนุญาตในบางกรณีเช่นคดีอาญา) หรือฉันหายไปจากคุณสมบัติเชิงลึกของระบบไฟล์

หมายเหตุ: ฉันทราบว่า SSD บางตัวสลับข้อมูลอย่างต่อเนื่องฉันไม่แน่ใจว่าจะรวมไว้ในคำถามหรือไม่ ดูเหมือนว่าจะทำให้มันซับซ้อนมากขึ้น


เอ๊ะ ฉันค่อนข้างมั่นใจว่ามีคำถามเกี่ยวกับการกู้คืนข้อมูลจาก SSD และฉันก็ตอบ วรรณกรรมปัจจุบันเกี่ยวกับเรื่องที่ขัดแย้งและเป็นระเบียบ
Geek

1
การอ่านเป็นวิธีที่ดีในการบล็อกผู้เขียนที่ผ่านมา
Radu

1
คำนั้นไม่ได้หมายความว่าคุณคิดว่ามันหมายถึงอะไร (ในบริบท)
Journeyman Geek

คำตอบ:


9

วารสารนิติดิจิตอล, การรักษาความปลอดภัยและกฎหมาย มีบทความดีการศึกษาของการถ่ายภาพทางนิติวิทยาศาสตร์ในกรณีที่ไม่มีของ WRITE อัพที่ช่วยวิเคราะห์การจับนิติทั้งที่มีและไม่มีการเขียนบล็อค จากวารสาร:

แนวปฏิบัติที่ดีที่สุดในนิติวิทยาศาสตร์ดิจิทัลต้องการให้มีการใช้ตัวเขียนบล็อกเมื่อสร้างภาพทางนิติวิทยาศาสตร์ของสื่อดิจิทัลและนี่เป็นหลักสำคัญของการฝึกอบรมทางนิติวิทยาศาสตร์คอมพิวเตอร์มานานหลายทศวรรษ การปฏิบัติที่ฝังแน่นดังนั้นความสมบูรณ์ของภาพที่สร้างขึ้นโดยไม่มีการเขียนบล็อก - สงสัยในทันที

การติดตั้งระบบไฟล์เพียงอย่างเดียวอาจทำให้อ่าน / เขียนได้ ระบบไฟล์ที่ทันสมัยหลายแห่งตั้งแต่ext3 / 4และxfsถึงNTFSล้วน แต่มีบันทึกประจำวันที่เก็บข้อมูลเมตาเกี่ยวกับระบบไฟล์ของตัวเอง หากไฟฟ้าดับการปิดที่ไม่สมบูรณ์หรือสาเหตุหลายประการเจอร์นัลนี้จะอ่านและเขียนกลับไปยังโครงสร้างไฟล์ทั่วไดรฟ์โดยอัตโนมัติเพื่อรักษาความสอดคล้องของระบบไฟล์ สิ่งนี้อาจเกิดขึ้นในระหว่างกระบวนการเมานต์ไม่ว่าระบบไฟล์จะเป็นแบบอ่าน - เขียน

ยกตัวอย่างเช่นจากเอกสาร ext4roติดตัวเลือกที่จะ ...

Mount ระบบไฟล์อ่านอย่างเดียว โปรดทราบว่า ext4 จะเล่นซ้ำเจอร์นัล (และเขียนลงในพาร์ติชัน) แม้ว่าจะเมาท์ "อ่านอย่างเดียว" ตัวเลือกการเมาท์ "ro, noload" สามารถใช้เพื่อป้องกันการเขียนไปยังระบบไฟล์

แม้ว่าการเปลี่ยนแปลงระดับไดร์เวอร์เหล่านี้จะไม่ส่งผลกระทบต่อเนื้อหาของไฟล์ แต่เป็นมาตรฐานทางนิติวิทยาศาสตร์ที่ใช้แฮชการเข้ารหัสลับของหลักฐานในการรวบรวมเพื่อรักษาห่วงโซ่การดูแล หากใครสามารถแสดงให้เห็นว่าแฮชเช่น sha256 ของหลักฐานที่ถืออยู่ในปัจจุบันตรงกับสิ่งที่เก็บรวบรวมจากนั้นคุณสามารถพิสูจน์ได้โดยปราศจากข้อสงสัยที่สมเหตุสมผลว่าข้อมูลของไดรฟ์ไม่ได้รับการแก้ไขในระหว่างกระบวนการวิเคราะห์

หลักฐานดิจิทัลสามารถอ้างได้ว่าเป็นหลักฐานในเกือบทุกประเภทอาชญากรรม ผู้ตรวจสอบทางนิติวิทยาศาสตร์ต้องแน่ใจว่าข้อมูลที่ได้รับมาเป็นหลักฐานไม่ได้มีการเปลี่ยนแปลง แต่อย่างใดในระหว่างการจับกุมการวิเคราะห์และการควบคุม ทนายความผู้พิพากษาและคณะลูกขุนต้องรู้สึกมั่นใจว่าข้อมูลที่นำเสนอในคดีอาชญากรรมทางคอมพิวเตอร์นั้นถูกต้องตามกฎหมาย ผู้ตรวจสอบสามารถมั่นใจได้อย่างไรว่าหลักฐานของเขาหรือเธอเป็นที่ยอมรับในศาล

ตามที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ผู้ตรวจสอบทำตามชุดของขั้นตอนที่ออกแบบมาเพื่อป้องกันการดำเนินการของโปรแกรมใด ๆ ที่อาจแก้ไขเนื้อหาของดิสก์ http://www.cru-inc.com/data-protection-topics/writeblockers/

เขียนป้องกันเป็นสิ่งจำเป็นเพราะถ้าใด ๆเปลี่ยนแปลงบิตสำหรับใดเหตุผล OS, โปรแกรมควบคุมระดับระดับระบบไฟล์หรือต่ำกว่านั้นแฮชของการเก็บรวบรวมเทียบกับระบบการวิเคราะห์จะตรงกับการไม่ได้และการรับของไดรฟ์เป็นหลักฐานอาจจะ ถาม

ตัวเขียนบล็อกจึงเป็นทั้งการควบคุมทางเทคนิคต่อความเป็นไปได้ของการเปลี่ยนแปลงในระดับต่ำและการควบคุมขั้นตอนเพื่อให้มั่นใจว่าไม่มีการเปลี่ยนแปลงใด ๆ โดยไม่คำนึงถึงผู้ใช้หรือซอฟต์แวร์ ด้วยการลบความเป็นไปได้ของการเปลี่ยนแปลงมันจะสนับสนุนแฮชที่จะใช้เพื่อแสดงว่าการวิเคราะห์หลักฐานตรงกับหลักฐานที่รวบรวมไว้และป้องกันไม่ให้เกิดการจัดการกับหลักฐานที่เป็นปัญหาและคำถาม

การวิเคราะห์บทความของ JDFSL แสดงให้เห็นว่าไม่มีตัวบล็อกการเขียนการเปลี่ยนแปลงเกิดขึ้นกับไดรฟ์ที่ทดสอบ อย่างไรก็ตามในทางตรงกันข้าม - ไฟล์ข้อมูลส่วนบุคคลแฮชยังคงไม่เปลี่ยนแปลงดังนั้นจึงมีข้อโต้แย้งเกี่ยวกับความสมบูรณ์ของหลักฐานที่รวบรวมโดยไม่มีตัวบล็อกการเขียนอยู่ แต่ไม่ถือว่าเป็นการปฏิบัติที่ดีที่สุดในอุตสาหกรรม


4

คุณไม่สามารถจะแน่ใจว่า @ Jakegould ครอบคลุมเหตุผลทางกฎหมายและทางเทคนิคมากมายดังนั้นฉันจึงมุ่งเน้นไปที่เหตุผลในการดำเนินงาน

ประการแรกคุณไม่เคยติดตั้งไดรฟ์เช่นนั้นคุณภาพอุปกรณ์ทั้งหมด สถานที่ตั้งหลักของคุณที่คุณสามารถใช้สิทธิ์ระบบไฟล์ไม่ถูกต้อง คุณกำลังจะใช้รสชาติของ DDหรือเครื่องมือการซื้อเฉพาะที่ควรมีการอ่านค่าเริ่มต้นเท่านั้น

นิติวิทยาศาสตร์เป็นเรื่องเกี่ยวกับความมั่นใจอย่างแน่นอนว่าคุณไม่ได้ดัดแปลงหลักฐานใด ๆ ในขั้นตอนใด ๆ และคุณสามารถมอบสำเนาของไดรฟ์ที่ผ่านการตรวจสอบแล้วโดยไม่มีการเปลี่ยนแปลงใด ๆ (อันที่จริงแล้วถ้าคุณไม่จำเป็นต้องใช้นิติวิทยาศาสตร์แบบสดคุณจะต้องแตะฮาร์ดไดรฟ์ที่สงสัยเพียงครั้งเดียวเพื่อถ่ายภาพ) ดังนั้นนอกจากเครื่องมือที่คุณจะได้รับจากการอ่านเท่านั้นมันจะทำหน้าที่เป็นแนวป้องกันที่สอง

ตัวบล็อกการเขียนทำบางสิ่ง

  1. มันเปลี่ยนภาระในการพิสูจน์ว่าไดรฟ์เป็นจริงอ่านอย่างเดียว
  2. ในการเพิ่มเติมวิธี idiotproof - มันจะกลายเป็นส่วนหนึ่งของการเข้าซื้อกิจการ 'แท่นขุดเจาะ / กระบวนการของคุณ
  3. กับอุปกรณ์ที่รับประกันโดยผู้ผลิตซึ่งเป็นสิ่งที่คุณต้องการในบันทึกหลักฐาน / บันทึกเหตุการณ์ของคุณ

ในความรู้สึกมันเข้าสู่กระบวนการรวบรวมหลักฐานและมีสิ่งหนึ่งที่น้อยกว่าสำหรับมนุษย์ที่อ่อนแอของคุณที่จะทำให้ยุ่งเหยิงนอกจากการตรวจสอบว่าไดรฟ์ต้นฉบับไม่ได้ถูกเขียนไปแล้วมันอาจช่วยคุณได้ถ้าคุณรวมแหล่งที่มาและปลายทาง .

ในระยะสั้นจะมีจุดอ่อนสำคัญที่เป็นไปได้หนึ่งจุด คุณไม่ต้องคิดว่า 'ฉันเมานต์ไดรฟ์แบบอ่านอย่างเดียว' หรือ 'ฉันได้สลับแหล่งที่มาและปลายทางของฉันเป็น dd หรือไม่'

คุณติดไว้และคุณไม่ต้องกังวลหากคุณเขียนทับหลักฐานของคุณ


จุดปฏิบัติการที่ดีกระบวนการและความสามารถในการทำซ้ำผลลัพธ์เป็นสิ่งสำคัญในการพิสูจน์หลักฐาน - ตัวบล็อกการเขียนจะลบข้อผิดพลาดทั้งจากมนุษย์และเครื่องจักร
ทำให้

+1 เพราะนี่เป็นหัวข้อที่ซับซ้อนและคุณได้สัมผัสกับสิ่งที่เฉพาะเจาะจงในระดับที่ฉันไม่ได้ทำ
JakeGould

2

คุณระบุสิ่งนี้:

หากคุณสามารถเมานต์ดิสก์ในโหมดอ่านอย่างเดียวจุดขายของบางอย่างเช่นตัวเขียนการเขียนคืออะไร

เรามาถึงระดับสูงที่ไม่ใช่ด้านเทคนิคดูเหตุผลว่าจะรวบรวมข้อมูลหลักฐานได้อย่างไร และกุญแจสำคัญในการทั้งหมดนี้คือความเป็นกลาง

คุณมีข้อสงสัยว่า ... มีบางอย่างในทางกฎหมายหรือคดีที่อาจเกิดขึ้น ต้องแสดงหลักฐานของพวกเขาว่าเป็นกลางที่สุด ในกรณีของเอกสารทางกายภาพคุณสามารถนำสื่อสิ่งพิมพ์และเก็บไว้ในที่ปลอดภัยได้ สำหรับข้อมูล? ลักษณะของระบบคอมพิวเตอร์โดยเนื้อแท้มีปัญหาของการจัดการข้อมูลในการเล่น

ในขณะที่คุณระบุว่าคุณสามารถติดวอลลุ่มอย่างมีเหตุผลว่า“ อ่านอย่างเดียว” คุณเป็นใคร? และคนที่ไม่ใช่คุณ - เช่นศาลหรือผู้ตรวจสอบ - จะไว้วางใจทักษะระบบและความเชี่ยวชาญของคุณได้อย่างไร หมายความว่าอะไรที่ทำให้ระบบของคุณมีความพิเศษบางอย่างที่กระบวนการพื้นหลังไม่สามารถปรากฏขึ้นทันทีบนระบบและเริ่มสร้างดัชนีเป็นครั้งที่สองที่คุณเสียบเข้าไป และคุณจะเป็นผู้ปกครองอย่างไร และ heck แล้วข้อมูลเมตาของไฟล์ล่ะ MD5 บนไฟล์มีประโยชน์ ... แต่ถ้าหนึ่งตัวละครของข้อมูลเมตาเปลี่ยนแปลงในไฟล์เดาอะไร MD5 เปลี่ยนแปลงไป

สิ่งที่เกิดขึ้นคืออยู่ในรูปแบบที่ยอดเยี่ยมของสิ่งต่าง ๆ ทักษะทางเทคนิคส่วนบุคคลของคุณไม่มีผลต่อความสามารถในการนำเสนอข้อมูลที่เป็นกลางที่สุดเท่าที่จะเป็นไปได้สำหรับผู้ตรวจสอบศาลหรือผู้อื่น

ป้อนตัวบล็อกการเขียน นี่ไม่ใช่อุปกรณ์ที่น่าอัศจรรย์ มันชัดเจนบล็อกการเขียนข้อมูลในระดับฐานและสิ่งอื่นใด นั่นคือทั้งหมดที่มันทำและนั่นคือทั้งหมดที่มันควรจะทำ (หรือไม่ทำ)

ตัวบล็อกการเขียนเป็นชิ้นส่วนฮาร์ดแวร์ที่เป็นกลางที่ทำโดย บริษัท อื่นตามมาตรฐานที่ยอมรับในอุตสาหกรรมซึ่งทำงานหนึ่งงานและงานหนึ่งอย่างดี: ป้องกันการเขียนข้อมูล

โดยทั่วไปศาลหรือผู้อื่นใช้การเขียนบล็อกเกอร์โดยทั่วไปกล่าวว่า“ ฉันเป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์ที่เข้าใจการตรวจสอบข้อมูลทางนิติวิทยาศาสตร์และเข้าใจถึงความจำเป็นในการรวมข้อมูลเมื่อต้องให้ข้อมูลอื่นที่ฉันถูกรวบรวม ฉันกำลังใช้อุปกรณ์ทางกายภาพที่เราทุกคนตกลงป้องกันไม่ให้เขียนเพื่อเข้าถึงข้อมูลนี้เพื่อแสดงให้ทุกคนเห็นว่าใช่นี่คือหลักฐานที่คุณต้องทำในสิ่งที่คุณต้องทำ”

ดังนั้นจุดของ "การซื้อบางอย่างเช่นเครื่องมือเขียนบล็อก" คือการซื้อเครื่องมือที่ผู้คนทั่วโลกรู้จักว่าเป็นเครื่องมือที่ถูกต้องสำหรับการเข้าถึงและเก็บข้อมูลที่เป็นกลาง และถ้าคนอื่น - ที่ไม่ใช่คุณ - ต้องเข้าถึงข้อมูลด้วยตัวบล็อกการเขียนที่คล้ายกันพวกเขาก็จะได้รับข้อมูลเดียวกันกลับมา

อีกตัวอย่างในโลกแห่งความจริงคือหลักฐานกล้องวิดีโอ ตอนนี้ใช่มีความเสี่ยงที่หลักฐานวิดีโอจะถูกแก้ไข แต่สมมติว่าคุณเห็นอาชญากรรมและเห็นผู้ต้องสงสัยและรู้ว่าพวกเขาทำ ในศาลความซื่อสัตย์ของคุณในฐานะพยานจะถูกตรวจสอบโดยฝ่ายจำเลยขณะที่พวกเขาพยายามปกป้องลูกค้าของพวกเขา แต่สมมุติว่านอกเหนือจากผู้เห็นเหตุการณ์ของคุณรายงานว่าตำรวจได้รับคลิปวิดีโอเกี่ยวกับอาชญากรรมที่เกิดขึ้น ดวงตาที่เป็นกลางและไม่กะพริบตาของอุปกรณ์จับภาพที่เป็นกลางจะทำให้คุณสงสัยได้มากที่สุด ความหมายสิ่ง "หุ่นยนต์" ที่ไม่ใช่มนุษย์ แต่สามารถบันทึกข้อมูลจะสำรองข้อมูลคดีฟ้องร้องต่อการป้องกันและไม่เพียง แต่คำ / ความไว้วางใจของคุณ

ความจริงก็คือโลกแห่งกฎหมายและความถูกต้องตามกฎหมายมาถึงจุดแข็งจับต้องได้ - หลักฐานทางกายภาพที่ปฏิเสธไม่ได้ และเครื่องมือเขียนบล็อกที่ช่วยให้มั่นใจว่าหลักฐานข้อมูลทางกายภาพนั้นสะอาดที่สุดเท่าที่จะเป็นไปได้


1
+1 คำรามคร่ำครวญคุณครอบคลุมหลายสิ่งที่ฉันจะได้รับ p
Journeyman Geek

-2

เหตุผลในการเขียนบล็อกเกอร์ถูกนำมาใช้เนื่องจากอาชญากรสามารถวางกระบวนการดักจับที่ทำลายหลักฐานในเหตุการณ์ (อาจเป็นความพยายามรหัสผ่านที่ไม่ถูกต้องไม่สามารถเข้าถึงเซิร์ฟเวอร์เฉพาะพยายามเข้าถึงไฟล์ปลอมหรืออะไรก็ตาม)

กระบวนการดักใด ๆ โดยทั่วไปสามารถพยายามติดตั้งอุปกรณ์ใหม่อีกครั้งในรูปแบบอ่าน - เขียนได้เช่นกัน

วิธีเดียวที่จะแน่ใจได้คือใช้อุปกรณ์ฮาร์ดแวร์ ตัวเขียนบล็อกฮาร์ดแวร์บางตัวมีสวิตช์ที่อนุญาตให้ปิดใช้งานฟังก์ชั่นการเขียนบล็อก แต่ที่สำคัญคือซอฟต์แวร์นั้นไม่สามารถส่งผลกระทบต่อฮาร์ดแวร์ได้หากฮาร์ดแวร์ไม่ได้ตั้งโปรแกรมให้ตอบสนองต่อสัญญาณซอฟต์แวร์

tought เดียวกันสามารถนำไปใช้กับหน่วยความจำ USB ได้เหตุใดหน่วยความจำ USB บางตัวจึงมีสวิตช์ป้องกันการเขียนข้อมูลทางกายภาพ

บางครั้งผู้ตรวจสอบจะต้องสามารถบูตระบบปฏิบัติการของผู้ต้องสงสัยนั่นคือสาเหตุที่ผู้ตรวจสอบต้องระวังกระบวนการดักจับใด ๆ

กระบวนการตรวจสอบแตกต่างกันไปในแต่ละประเทศเนื่องจากกฎหมายความรับผิดชอบที่แตกต่างกัน ในบางประเทศการครอบครองไฟล์บางไฟล์นั้นผิดกฎหมายเป็นความรับผิดชอบของคุณในการรักษาความปลอดภัยคอมพิวเตอร์ของคุณและคุณไม่สามารถตำหนิไฟล์ผิดกฎหมายในไวรัสได้

และในประเทศอื่นอาจเป็นเพราะการครอบครองไฟล์นั้นผิดกฎหมาย แต่ต้องมีหลักฐานว่าเป็นผู้ต้องสงสัยที่วางไฟล์ไม่ใช่ไวรัส

ในกรณีที่สองผู้ตรวจสอบอาจต้องบูตคอมพิวเตอร์เพื่อดูว่าอะไรกำลังเริ่มต้นตอนบูทใน autostart / run / runonce

กล่าวอีกนัยหนึ่งอาชญากรเป็นอันตรายโดยธรรมชาติดังนั้นสิ่งใดก็ตามที่สามารถท้าทายความถูกต้องของหลักฐานในศาลจะต้องได้รับการคุ้มครองในทุกค่าใช้จ่าย นอกจากนี้หากอาชญากรวางกับดักที่ทำลายหลักฐานโดยอัตโนมัติในหลาย ๆ กรณีจะไม่“ ทำลายหลักฐาน” เมื่อเทียบกับการลบบางสิ่งด้วยตนเอง อาจเป็นหายนะหากอนุญาตให้เขียนได้

กระบวนการฮาร์ดแวร์ที่แยกต่างหากนั้นมีความปลอดภัยมากกว่ากระบวนการซอฟต์แวร์ดังนั้นนักเขียนบล็อกเกอร์จึงถูกนำมาใช้โดยผู้ตรวจสอบเพื่อรักษาความปลอดภัยของวัสดุจากการถูกทำลายในลักษณะเดียวกับที่ผู้เชี่ยวชาญด้านความปลอดภัยใช้สมาร์ทการ์ดและโทเค็นเพื่อป้องกันความลับ


1
ตรรกะที่นี่ดูเหมือนจะเพิ่มขึ้นในหลักฐานที่ถูกรวบรวมจาก "อาชญากร" โดยไม่คาดหวังในสถานที่ที่จะอนุญาตให้มีการรวบรวมหลักฐานเพียงเพราะมันเป็นส่วนหนึ่งของกรณี 100% ทุกคนในโลกสามารถถูกจับกุมและยึดระบบได้ ที่อยู่ในตัวของมันเองไม่ได้อนุมานความผิดหรือพฤติกรรมที่ซับซ้อน มันหมายถึงระบบของพวกเขาถูกยึดเป็นหลักฐานที่เป็นไปได้ ค่าของตัวบล็อกการเขียนคือเพื่อให้แน่ใจว่าข้อมูลที่เก็บรวบรวมจากเครื่องนั้นโดยทั่วไป“ ถูกแช่แข็งในเวลา” และอยู่ในสถานะที่สามารถใช้เป็นหลักฐานโดยบุคคลที่สามที่เป็นกลาง ไม่มีอะไรเพิ่มเติม ไม่มีอะไรน้อย
JakeGould

1
โดยทั่วไปแล้วผู้เชี่ยวชาญด้านนิติเวชได้รับการสอนว่าภาระการพิสูจน์อยู่ที่พวกเขาและคอมพิวเตอร์นิติเวชที่อยู่ภายใต้คำเตือนว่าทนายความจะทำให้คุณมีชีวิตอยู่ด้วยซอสมะเขือเทศถ้าคุณทำให้หลักฐานสับสน 'โพรเซสกับดัก' ไม่เคยถูกกล่าวถึงโดยเฉพาะอย่างยิ่งเนื่องจากเหตุผลทางนิติวิทยาศาสตร์แบบออฟไลน์ต้องการที่จะมีนิติวิทยาศาสตร์สดเพื่อหลีกเลี่ยงโอกาสที่จะเกิดขึ้น หากคุณใช้ตัวเขียนการเขียน - ระบบได้ถูกปิดลงแล้วบ่อยครั้งโดยการดึงสายไฟและไดรฟ์ดั้งเดิมได้รับการรักษาความปลอดภัยแล้ว
Geek

หากคุณบูตระบบเพื่อสร้างภาพจากนั้นภาพนั้นอาจไม่น่าเชื่อถือไม่ว่าจะมีตัวบล็อกการเขียนอยู่หรือไม่ก็ตาม หากคุณทำการถ่ายภาพจากระบบที่ดีที่รู้จักแล้วกับดักซอฟต์แวร์ใด ๆ ในภาพที่คุณกำลังคัดลอกจากจะไม่เกี่ยวข้อง ตัวบล็อกการเขียนไม่ได้อยู่ที่นั่นเพื่อป้องกันการเขียนที่ถูกทริกเกอร์โดยข้อมูลในข้อมูลที่คุณกำลังถ่ายภาพ แต่มันก็มีไว้เพื่อป้องกันการเขียนโดยระบบที่ทำการถ่ายภาพ
kasperd

โดยปกติคุณทั้งสองใช้ตัวเขียนการเขียนเพื่อสร้างภาพของมัน จากนั้นให้คุณบู๊ตระบบหากจำเป็นเพื่อรวบรวมหลักฐานซึ่งสามารถเข้าถึงได้ "ออนไลน์" เท่านั้น (ในขณะที่สงสัยว่าบูตระบบปฏิบัติการอยู่) ในกรณีส่วนใหญ่ก็เพียงพอกับการวิเคราะห์ออฟไลน์แบบง่าย ๆ แต่บางครั้งจำเป็นต้องมีการวิเคราะห์ออนไลน์ในส่วนเพิ่มเติมเพื่อการวิเคราะห์แบบออฟไลน์ โดยปกติแล้วคุณทำงานกับภาพ แต่บางครั้งซอฟต์แวร์ดักจับอาจใช้รหัสไดรฟ์เพื่อป้องกันการเข้าถึงเพิ่มเติมคือการคัดลอกถูกบูตจากนั้นคุณจำเป็นต้องบูตระบบออนไลน์ด้วยตัวเขียนการเขียน ทุกอย่างขึ้นอยู่กับสาเหตุที่คุณตรวจสอบไดรฟ์ที่เป็นปัญหา
เซบาสเตียนนีลเซ่น

1
@sebastiannielsen “ ใช่ แต่คุณต้องถือว่าแย่ที่สุดเมื่อวิเคราะห์ไดรฟ์” ไม่คุณยังไม่ได้รับ คุณต้องสันนิษฐานว่าไม่รู้จักเมื่อทำการตรวจสอบอะไร ไม่เลวร้ายที่สุด ไม่ใช่สิ่งที่ดีที่สุด แต่ก็ไม่รู้ และผู้เชี่ยวชาญด้านนิติเวชที่ถือว่า "เลวร้ายที่สุด" ในตอนแรกนั้นเป็นสินทรัพย์ที่ไม่ดีในตัวของมันเอง การรักษาความเป็นกลางนั้นเป็นเรื่องยาก แต่นั่นเป็นหน้าที่ของนักวิเคราะห์นิติเวช
JakeGould
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.