0

有没有办法使用 SANS SIFT 工作站对 USB 驱动器或 SD 卡进行法医声音采集?也就是说,它是否具有内置的写阻止程序?

4

1 回答 1

1

当您将设备连接到计算机时,您需要注意主机操作系统的作用。“设备”是一个虚拟机,主机操作系统可能会在设备之前接触到设备。

您最好的选择是使用硬件写阻止程序。

通过术语“SIFT 设备”,我假设您指的是基于 Linux 的设备。他们在一些取证课程中提供了一个基于 Windows 的 SIFT 工作站。

基于 Linux 的设备不会自动安装设备,因此您可以通过使用 dc3dd 并将设备本身(例如 /dev/sdb)作为 dc3dd 的输入来对驱动器进行映像。它不会改变任何东西。

于 2016-03-10T18:42:22.660 回答