जब रीड-ओनली के साथ माउंट होता है तो राइट ब्लॉकर्स की आवश्यकता क्यों होती है?

10

मान लें कि हम लिनक्स के कुछ स्वाद का उपयोग कर रहे हैं और हम निम्नलिखित कमांड का उपयोग करके एक विभाजन को माउंट करते हैं:

sudo mount -o ro /dev/sdc1 /mnt

विभाजन को केवल पढ़ने के लिए माना जाता है ताकि ओएस और उपयोगकर्ता बिना mountअनुमतियों को बदले डिस्क पर न लिख सकें ।

से ForensicsWiki :

अवरोधक ऐसे उपकरण हैं जो किसी ड्राइव पर गलती से ड्राइव की सामग्री को नुकसान पहुंचाने की संभावना पैदा किए बिना सूचना के अधिग्रहण की अनुमति देते हैं। वे इसे पढ़ने के आदेशों को पारित करने की अनुमति देकर करते हैं, लेकिन लिखने के आदेशों को अवरुद्ध करके, इसलिए उनका नाम।

यह मुझे लगता है कि यह सिर्फ आकस्मिक झंडे को रोकने के लिए है। पेज यह भी कहता है कि कुछ राइट-ब्लॉकर्स में अतिरिक्त विशेषताएं हैं, जैसे कि क्षति को रोकने के लिए डिस्क को धीमा करना। लेकिन इसके लिए मान लें कि यह केवल एक सरल है जो केवल लेखन को अवरुद्ध कर सकता है।

यदि आप केवल रीड-ओनली मोड में एक डिस्क को माउंट कर सकते हैं, तो एक राइट ब्लॉकर जैसे कुछ खरीदने का क्या मतलब है? क्या यह केवल लिखने की अनुमति (उपयोगकर्ता त्रुटि, जो कुछ मामलों में आपराधिक मामलों में अनुमति नहीं दी जा सकती है), या मैं फाइल सिस्टम कैसे काम करता है की कुछ और अधिक गहन विशेषताओं को याद नहीं कर रहा हूं।

नोट: मुझे पता है कि कुछ SSDs लगातार डेटा में फेरबदल करते हैं, मुझे यकीन नहीं है कि उन्हें प्रश्न में शामिल करना है या नहीं। ऐसा लगता है कि यह बहुत अधिक जटिल बना देगा।

linux  read-only  write-blocker 
cutrightjm
स्रोत
एह। मुझे पूरा यकीन है कि एसएसडी से डेटा रिकवरी पर सवाल है - और मैंने इसका जवाब दिया। उस पर वर्तमान साहित्य विरोधाभासी है, और एक गड़बड़ है।
जर्नीमैन गीक
1
पढ़ना वास्तव में पिछले लेखक के ब्लॉक प्राप्त करने का एक अच्छा तरीका है।
रादु
1
यह शब्द, इसका मतलब यह नहीं है कि तुम क्या लगता है कि यह (संदर्भ में) का अर्थ है
जर्नीमैन गीक

जवाबों:

9

डिजिटल फोरेंसिक, सुरक्षा और कानून के जर्नल एक उत्कृष्ट लेख है लिखें ब्लॉकर्स का अभाव में फोरेंसिक इमेजिंग के एक अध्ययन है कि दोनों के साथ और लिखने ब्लॉकर्स बिना फोरेंसिक कब्जा विश्लेषण करती है। पत्रिका से:

डिजिटल फोरेंसिक में सर्वश्रेष्ठ अभ्यास डिजिटल मीडिया की फोरेंसिक छवियां बनाते समय राइट-ब्लॉकर्स के उपयोग की मांग करते हैं, और यह दशकों से कंप्यूटर फोरेंसिक प्रशिक्षण का एक मुख्य सिद्धांत रहा है। यह अभ्यास इतना जटिल है कि लेखन-अवरोधक के बिना बनाई गई छवियों की अखंडता तुरंत संदिग्ध है।

एक फ़ाइल सिस्टम को बेहतर ढंग से माउंट करना पढ़ने / लिखने का कारण बन सकता है। कई आधुनिक फ़ाइल सिस्टम, से ext3 / 4 और XFS को NTFS , सब एक है पत्रिका है कि फाइल सिस्टम ही के बारे में मेटाडेटा बनाए रखता है। यदि शक्ति खो जाती है, अपूर्ण शटडाउन, या कई कारणों से, यह पत्रिका स्वचालित रूप से फाइल सिस्टम के लिए स्थिरता बनाए रखने के लिए ड्राइव के पार फ़ाइल संरचनाओं में स्वचालित रूप से पढ़ी और लिखी जाती है। माउंट प्रक्रिया के दौरान ऐसा हो सकता है, चाहे फ़ाइल-सिस्टम पढ़ा-लिखा हो या नहीं।

उदाहरण के लिए, ext4 प्रलेखन से roमाउंट विकल्प होगा ...

माउंट फाइलसिस्टम ही पढ़ा। ध्यान दें कि ext4, "केवल पढ़ने के लिए" माउंट होने पर भी पत्रिका को फिर से प्रकाशित करेगा (और विभाजन को लिखें)। माउंट विकल्प "ro, noload" का उपयोग फाइलसिस्टम को लिखने से रोकने के लिए किया जा सकता है।

हालाँकि ये ड्राइवर स्तर के परिवर्तन फ़ाइलों की सामग्री को प्रभावित नहीं करते हैं , यह हिरासत की श्रृंखला बनाए रखने के लिए संग्रह पर साक्ष्य के क्रिप्टोग्राफिक हैश लेने के लिए एक फोरेंसिक मानक है। यदि कोई दिखा सकता है कि वर्तमान में आयोजित हैश यानी sha256 का मिलान किया गया है, तो आप उचित संदेह से परे साबित कर सकते हैं कि विश्लेषण प्रक्रिया के दौरान ड्राइव के डेटा को संशोधित नहीं किया गया है।

डिजिटल सबूतों को लगभग हर अपराध श्रेणी में सबूत के रूप में उद्धृत किया जा सकता है। फोरेंसिक जांचकर्ताओं को पूरी तरह से निश्चित होना चाहिए कि जो डेटा वे सबूत के रूप में प्राप्त करते हैं, उसे कैप्चर, विश्लेषण और नियंत्रण के दौरान किसी भी तरह से बदला नहीं गया है। वकीलों, न्यायाधीशों और जुआरियों को यह महसूस करने की आवश्यकता है कि कंप्यूटर अपराध के मामले में प्रस्तुत की गई जानकारी वैध है। एक अन्वेषक यह सुनिश्चित करने के लिए कैसे सुनिश्चित कर सकता है कि उसका सबूत अदालत में स्वीकार किया गया है?

नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड एंड टेक्नोलॉजी (एनआईएसटी) के अनुसार, अन्वेषक किसी भी प्रोग्राम के निष्पादन को रोकने के लिए डिज़ाइन की गई प्रक्रियाओं के एक समूह का अनुसरण करता है जो डिस्क सामग्री को संशोधित कर सकता है। http://www.cru-inc.com/data-protection-topics/writeblockers/

एक लिखने अवरोधक आवश्यक है, क्योंकि अगर किसी भी कारण से कोई भी बिट -ओएस, ड्राइवर-स्तर, फ़ाइल-सिस्टम स्तर या नीचे-तो एकत्र बनाम विश्लेषण प्रणाली की हैश अब मेल नहीं खाएगी, और सबूत के रूप में ड्राइव की स्वीकार्यता हो सकती है। पर सवाल उठाया।

इस प्रकार राइट-ब्लॉकर दोनों निम्न-स्तर के परिवर्तनों की संभावना के विरुद्ध एक तकनीकी नियंत्रण है, और यह सुनिश्चित करने के लिए एक प्रक्रियात्मक नियंत्रण है कि उपयोगकर्ता या सॉफ्टवेयर की परवाह किए बिना कोई परिवर्तन नहीं किया गया है। परिवर्तनों की संभावना को हटाकर, यह यह दिखाने के लिए उपयोग किए जाने वाले हैश का समर्थन करता है कि विश्लेषण किए गए साक्ष्य एकत्र किए गए साक्ष्यों से मेल खाते हैं, और समस्याओं और सवालों को संभालने वाले कई संभावित सबूतों को रोकता है।

JDFSL लेख के विश्लेषण से पता चलता है कि लेखन-अवरोधक के बिना, उन ड्राइव्स में परिवर्तन किए गए जो उन्होंने परीक्षण किए थे। हालांकि, इसके विपरीत - व्यक्तिगत डेटा फाइलें हैश अभी भी बरकरार रहेंगी, इसलिए एक लिखित अवरोधक के बिना एकत्र किए गए साक्ष्य की ध्वनि के लिए तर्क मौजूद हैं, लेकिन सर्वश्रेष्ठ-उद्योग-अभ्यास नहीं माना जाता है।

glallen
स्रोत
4

आप नहीं हो सकता यकीन है । @jakegould कानूनी और तकनीकी कारणों का एक टन शामिल करता है, इसलिए मैं परिचालन कारणों पर ध्यान केंद्रित कर रहा हूं।

सबसे पहले, आप कभी भी एक ड्राइव को माउंट नहीं करते हैं, आप एक संपूर्ण डिवाइस की छवि बनाते हैं । आपका मूल आधार, कि आप फाइल सिस्टम अनुमतियों का उपयोग कर सकते हैं गलत है। आप डीडी के कुछ स्वाद या एक विशेष अधिग्रहण उपकरण का उपयोग करने जा रहे हैं जिसमें केवल डिफ़ॉल्ट रूप से रीडिंग शामिल होना चाहिए

फोरेंसिक यह पूरी तरह से सुनिश्चित है कि आपने किसी भी स्तर पर सबूतों के साथ छेड़छाड़ नहीं की है, और यह कि आप ड्राइव की एक सत्यापित प्रति प्रदान कर सकते हैं जिसमें कोई बदलाव नहीं किया गया है। (वास्तव में, जब तक आपको लाइव फोरेंसिक करने की आवश्यकता नहीं होती है, आप केवल एक संदिग्ध हार्ड ड्राइव को एक बार इसे इमेज करने के लिए स्पर्श करते हैं)। इसके अलावा आपके अधिग्रहण उपकरण को केवल पढ़ने के लिए, यह गड़बड़ करने के खिलाफ रक्षा की दूसरी पंक्ति के रूप में कार्य करता है।

राइट ब्लॉकर कुछ चीजें करता है।

  1. यह साबित करने के बोझ को हटा देता है कि ड्राइव वास्तव में पढ़ा गया था
  2. एक में अधिक idiotproof तरीका है - यह अपने 'अधिग्रहण' रिग / प्रक्रिया का हिस्सा बन जाता
  3. निर्माता द्वारा ऐसा करने की गारंटी दी गई डिवाइस के साथ - जो आप अपने साक्ष्य / घटना लॉग में चाहते हैं।

एक अर्थ में यह सबूत संग्रह की प्रक्रिया में बदल जाता है और आपके कमजोर मानव स्वयं के लिए गड़बड़ करने के लिए एक कम चीज है। सत्यापन के अलावा कि स्रोत ड्राइव को नहीं लिखा गया है, अगर आप स्रोत और गंतव्य को मिलाते हैं तो यह आपको बचा सकता है। ।

संक्षेप में, यह एक संभव प्रमुख कमजोर बिंदु को बाहर निकालता है । आपको यह सोचने की ज़रूरत नहीं है कि 'क्या मैंने ड्राइव को आसानी से माउंट किया है' या 'क्या मैंने अपने स्रोत और गंतव्य को dd में स्वैप किया है?'

आप इसे हुक करते हैं, और आपको चिंता करने की ज़रूरत नहीं है यदि आप अपने सबूत को ओवरवोट करते हैं।

जर्नीमैन गीक
स्रोत
अच्छे परिचालन बिंदु, प्रक्रिया और परिणामों को पुन: पेश करने की क्षमता फोरेंसिक में महत्वपूर्ण है - एक लिखने अवरोधक उन्हें प्रभावित करने से मानव और मशीन त्रुटि दोनों को निकालता है।
ग्लॉलेन
+1 क्योंकि यह एक जटिल विषय है और आपने एक स्तर पर बारीकियों को छुआ है, जो मैंने नहीं किया,
जेकेगॉल्ड
2

आप यह बताएं:

यदि आप केवल रीड-ओनली मोड में एक डिस्क को माउंट कर सकते हैं, तो एक राइट ब्लॉकर जैसे कुछ खरीदने का क्या मतलब है?

आइए एक उच्च, गैर-तकनीकी स्तर पर - तार्किक रूप से इस बात पर गौर करें कि सबूत के लिए डेटा कैसे एकत्र किया जाएगा। और इस सब की कुंजी तटस्थता है।

आप पर शक है ... कानूनी या संभावित कानूनी मामले में कुछ। उनके साक्ष्य को यथासंभव तटस्थ रूप में प्रस्तुत किया जाना चाहिए। भौतिक दस्तावेजों के मामले में आप केवल मुद्रित सामग्री ले सकते हैं और उन्हें सुरक्षित स्थान पर भौतिक रूप से संग्रहीत कर सकते हैं। डेटा के लिए? कंप्यूटर सिस्टम की प्रकृति स्वाभाविक रूप से खेलने में डेटा हेरफेर का मुद्दा है।

जब आप कहते हैं कि आप केवल तार्किक रूप से "केवल पढ़ने के लिए" वॉल्यूम बढ़ा सकते हैं तो आप कौन हैं? और कोई ऐसा कैसे हो सकता है जो आप नहीं है - एक अदालत या अन्वेषक की तरह — अपने कौशल, प्रणालियों और विशेषज्ञता पर भरोसा करें? मतलब क्या आपके सिस्टम को इतना खास बनाता है कि कुछ बैकग्राउंड प्रोसेस अचानक सिस्टम पर पॉप अप नहीं कर सकते हैं और इसे दूसरे में इंडेक्स करना शुरू कर देते हैं जिसे आप इसे प्लग इन करते हैं? और आप यह कैसे करेंगे? और बिल्ली, फ़ाइल मेटाडेटा के बारे में क्या? MD5 की फाइलें उपयोगी हैं ... लेकिन अगर मेटाडेटा का एक चरित्र फ़ाइल में बदलता है तो क्या होगा? MD5 बदल जाता है।

यह नीचे आता है कि चीजों की महान योजना में आपके व्यक्तिगत तकनीकी कौशल का आपके पास जांचकर्ताओं, अदालतों या अन्य लोगों के लिए यथासंभव न्यूट्रल डेटा प्रस्तुत करने की क्षमता पर कोई असर नहीं पड़ता है।

एक लिखने अवरोधक दर्ज करें। यह जादुई उपकरण नहीं है। यह स्पष्ट रूप से एक आधार स्तर पर डेटा लेखन को अवरुद्ध करता है और क्या है? खैर, बस इतना ही करना है और यही सब करना चाहिए (या नहीं करना चाहिए)।

एक लेखन अवरोधक किसी अन्य कंपनी द्वारा स्वीकृत मानक के अनुरूप हार्डवेयर का एक तटस्थ टुकड़ा है जो एक कार्य और एक कार्य को अच्छी तरह से करता है: डेटा लिखना रोकें।

एक अन्वेषक, अदालत या अन्य को लिखने वाले अवरोधक का उपयोग मूल रूप से बताता है, “मैं एक कंप्यूटर पेशेवर हूं जो डेटा फोरेंसिक को समझता है और डेटा की अखंडता की आवश्यकता को समझता है जब अन्य जानकारी प्रदान करने के लिए मुझे इकट्ठा करने का आरोप लगाया जाता है। मैं एक भौतिक उपकरण का उपयोग कर रहा हूं, जिससे हम सहमत हैं कि इस डेटा को सभी को दिखाने के लिए लिखने से रोकता है कि हां, यह सबूत है कि आपको वह करने की आवश्यकता है जो आपको करने की आवश्यकता है। "

तो "एक लिखने अवरोधक के रूप में कुछ खरीदने" की बात यह है कि एक ऐसा उपकरण खरीदना है जो दुनिया भर के लोगों द्वारा तटस्थ डेटा एक्सेस और संग्रह के लिए एक वैध उपकरण के रूप में पहचाना जाता है। और अगर कोई और - जो आप नहीं हैं - एक समान लिखने वाले अवरोधक के साथ डेटा का उपयोग करने के लिए थे, तो उन्हें भी बदले में समान डेटा मिलेगा।

एक और वास्तविक दुनिया का उदाहरण वीडियो कैमरा सबूत है। अब हाँ, वीडियो सबूतों के साथ छेड़छाड़ किए जाने का खतरा है। लेकिन मान लीजिए कि आपने एक अपराध देखा और संदिग्ध को देखा और यह जान लिया कि उन्होंने ऐसा किया है। एक अदालत में, एक गवाह के रूप में आपकी ईमानदारी, बचाव पक्ष द्वारा स्पष्ट हो जाएगी क्योंकि वे अपने ग्राहक की रक्षा करना चाहते हैं। लेकिन मान लीजिए कि आपके प्रत्यक्षदर्शी रिपोर्ट के अलावा पुलिस को हो रहे अपराध के वीडियो फुटेज मिलते हैं। अपने दावे के अधिकांश संदेहों को दूर करने के लिए डिवाइस पर कब्जा करने वाली एक तटस्थ छवि की निष्पक्ष, अस्पष्ट आँख। मतलब, एक "रोबोट" चीज़ जो एक मानव नहीं है, लेकिन डेटा रिकॉर्ड कर सकता है, बचाव पक्ष के खिलाफ मुकदमों का बैकअप लेगा और न केवल आपके शब्द या विश्वास।

वास्तविकता यह है कि कानून और वैधता की दुनिया वास्तव में ठोस, ठोस और बहुत अधिक-अकाट्य भौतिक सबूतों के लिए नीचे आती है। और एक अवरोधक एक उपकरण जो भौतिक डेटा सबूत सुनिश्चित करता है जितना संभव हो उतना साफ है।

JakeGould
स्रोत
1
+1 भुनभुनाना भुनभुनाना पी; तुम मैं होता सामान का एक बहुत कवर
जर्नीमैन गीक
-2

कारण लिखने वाले ब्लॉकर्स का उपयोग किया जाता है, ऐसा इसलिए है क्योंकि अपराधी जाल प्रक्रियाओं को डाल सकते हैं जो किसी घटना पर सबूत नष्ट कर सकते हैं (गलत पासवर्ड का प्रयास हो सकता है, किसी विशिष्ट सर्वर तक नहीं पहुंच सकता है, नकली फ़ाइल या जो भी एक्सेस करने का प्रयास करता है)।

कोई भी ट्रैप प्रक्रिया मूल रूप से डिवाइस को रीड-राइट में भी रिमूव करने का प्रयास कर सकती है।

सुनिश्चित करने का एकमात्र तरीका हार्डवेयर डिवाइस का उपयोग करना है। कुछ हार्डवेयर राइटब्लॉकर्स में एक स्विच होता है जो राइटब्लॉकिंग फ़ंक्शन को अक्षम करने की अनुमति देता है, लेकिन मुख्य महत्वपूर्ण बात यह है कि सॉफ़्टवेयर सिग्नल पर प्रतिक्रिया करने के लिए हार्डवेयर को प्रोग्राम नहीं किया जाता है तो सॉफ़्टवेयर कभी भी हार्डवेयर को प्रभावित नहीं कर सकता है।

USB मेमोरी में एक ही tought लगाया जा सकता है, क्यों कुछ USB मेमोरी में फिजिकल राइटप्रोटेक्ट स्विच होता है।

कभी-कभी जांचकर्ता को संदिग्ध के ओएस को बूट करने में सक्षम होना चाहिए, यही कारण है कि अन्वेषक को किसी भी जाल प्रक्रियाओं से सावधान रहने की आवश्यकता है।

अलग-अलग देशों के बीच अलग-अलग जिम्मेदारी कानूनों के कारण जांच प्रक्रिया अलग-अलग होती है। कुछ देशों में, कुछ फ़ाइलों का अवैध होना अवैध है, आपके कंप्यूटर को सुरक्षित रखना आपकी ज़िम्मेदारी है, और आप एक वायरस पर अवैध फ़ाइलों को दोष नहीं दे सकते।

और दूसरे देश में, यह हो सकता है कि फ़ाइल पर कब्ज़ा अवैध है, लेकिन सबूत पेश करने की आवश्यकता है कि यह संदिग्ध था जिसने फाइलों को रखा और वायरस नहीं।

दूसरे मामले में, अन्वेषक को कंप्यूटर को बूट करने की आवश्यकता हो सकती है यह देखने के लिए कि ऑटोस्टार्ट / रन / रनऑन में बूट शुरू हो रहा है।

दूसरे शब्दों में, अपराधी स्वभाव से दुर्भावनापूर्ण होते हैं, इस प्रकार कुछ भी जो अदालत में साक्ष्य की वैधता को चुनौती दे सकते हैं, उन्हें हर कीमत पर संरक्षित करने की आवश्यकता है। इसके अलावा, अगर अपराधी ने एक जाल डाला है जो स्वचालित रूप से सबूत नष्ट कर देता है, तो यह कई मामलों में "सबूतों का विनाश" नहीं होगा, जैसा कि कुछ को मैन्युअल रूप से हटाने का विरोध किया गया है। अगर लिखने की अनुमति दी जाए तो यह एक आपदा हो सकती है।

एक पृथक हार्डवेयर प्रक्रिया एक सॉफ्टवेयर प्रक्रिया की तुलना में बहुत अधिक सुरक्षित है, इसलिए जांचकर्ताओं द्वारा विनाश से अपनी सामग्री को सुरक्षित करने के लिए जांचकर्ताओं द्वारा उपयोग किया जाता है, उसी तरह सुरक्षा पेशेवर स्मार्ट कार्ड और टोकन का उपयोग करते हैं ताकि उनके रहस्यों से समझौता न किया जा सके।

सेबस्टियन नील्सन
स्रोत
1
यहाँ तर्क एक "अपराधी" से एकत्र किए जा रहे साक्ष्य पर टिका हुआ लगता है, बिना किसी संभावना के, जो कि साक्ष्य एकत्र करने के लिए अनुमति देता है क्योंकि यह एक मामले का एक हिस्सा है। दुनिया में 100% किसी को भी गिरफ्तार किया जा सकता है और उनके सिस्टम को जब्त कर लिया गया है। में और खुद को अपराध या जटिल व्यवहार का अनुमान नहीं है। इसका मतलब यह है कि उनके सिस्टम को संभावित सबूत के रूप में जब्त कर लिया गया था। राइट ब्लॉकर का मूल्य यह सुनिश्चित करना है कि मशीन से एकत्र किए गए डेटा को मूल रूप से "समय में जमे हुए" और एक राज्य में एक तटस्थ तीसरे पक्ष द्वारा सबूत के रूप में इस्तेमाल किया जा सकता है। और कुछ नहीं। कुछ भी कम नहीं।
जेकगॉल्ड
1
आम तौर पर, फोरेंसिक पेशेवरों को सिखाया जाता है कि सबूत का बोझ उन पर है और कंप्यूटर फोरेंसिक अंडरगार्मेंट्स ने चेतावनी दी है कि अगर आप सबूतों को गड़बड़ करते हैं, तो केचप के साथ वकील आपको जीवित खा लेंगे। 'ट्रैप प्रक्रियाओं' का वास्तव में कभी उल्लेख नहीं किया गया है, विशेष रूप से इसका कारण यह है कि ऑफ़लाइन फोरेंसिक को जीवित फोरेंसिक के लिए पसंद किया जाता है। यदि आप राइट ब्लॉकर का उपयोग कर रहे हैं - सिस्टम को पहले ही बंद कर दिया गया है, तो अक्सर कॉर्ड को यॉक करके, और मूल ड्राइव को पहले ही सुरक्षित कर दिया गया है।
जर्नीमैन गीक
यदि आप इसकी एक छवि बनाने के लिए एक सिस्टम बूट करते हैं, तो उस छवि पर भरोसा नहीं किया जा सकता है, चाहे कोई भी अवरोधक मौजूद हो। यदि आप किसी ज्ञात अच्छे सिस्टम से इमेजिंग करते हैं, तो जिस इमेज से आप कॉपी कर रहे हैं, उस पर कोई भी सॉफ्टवेयर ट्रैप अप्रासंगिक हो जाएगा। लिखने अवरोधक उस डेटा को ट्रिगर करने से रोकने के लिए नहीं है जिसे आप इमेजिंग कर रहे डेटा पर डेटा द्वारा ट्रिगर करते हैं, यह वहां है जो इमेजिंग को सिस्टम द्वारा लिखने से रोकता है।
कास्परड
आम तौर पर आप दोनों इसकी छवि बनाने के लिए राइट ब्लॉकर का उपयोग करते हैं। फिर आप सिस्टम को बूट करते हैं यदि आवश्यक हो, तो सबूत इकट्ठा करने के लिए जो केवल "ऑनलाइन" है (जबकि संदिग्ध ओएस बूट किया गया है)। ज्यादातर मामलों में, यह सरल ऑफ़लाइन-विश्लेषण के साथ पर्याप्त है, लेकिन कभी-कभी, ऑफ़लाइन-विश्लेषण के लिए ADDITION में ऑनलाइन-विश्लेषण की आवश्यकता होती है। आम तौर पर आप छवि के साथ काम करते हैं, लेकिन कभी-कभी जाल सॉफ़्टवेयर ड्राइव-आईडी का उपयोग कर सकता है ताकि आगे की पहुंच को रोका जा सके, एक प्रतिलिपि बूट की गई है, तो आपको मूल रूप से एक लेखन अवरोधक के साथ ऑनलाइन बूट करना होगा। यह सब निर्भर करता है कि आप विचाराधीन रूप से ड्राइव की जांच क्यों कर रहे हैं।
सेबस्टियन नील्सन
1
@sebastiannielsen "हाँ, लेकिन आपको ड्राइव का विश्लेषण करते समय सबसे खराब मानने की आवश्यकता है।" नहीं, आप अभी भी नहीं मिलता है। किसी भी चीज की जांच करते समय आपको अज्ञात मान लेना चाहिए । सबसे बुरा नहीं है। सबसे अच्छा नहीं। लेकिन बस अज्ञात है। और एक फोरेंसिक विशेषज्ञ, जो शुरुआत में "सबसे खराब" मानता है, अपने आप में एक बुरी संपत्ति है। तटस्थता बनाए रखना कठिन है, लेकिन यह फोरेंसिक विश्लेषक का काम है।
जेकगोल्ड
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.