一千萬個為什麽

搜索

系統映像不允許恢復已刪除的文件?

我們正在與承包商就受感染的計算機進行合作。承包商要求驅動器的dd轉儲。但是,我的理解是dd允許承包商恢復已刪除的文件。 我怎樣才能生成可引導/取證有用的圖像,但不允許恢復已刪除的文件?

最佳答案

使用dd命令創建的映像將允許恢復已刪除的文件。 逐位復制(dd風格)是您獲得某種可能是執法/法庭唯一具有法律效用的方法的唯一途徑。

雖然有辦法壓縮系統上的所有文件並復制/更新啟動記錄,但這不是取證。唯一有效的取證方法是完全按原樣復制所有內容並保留它。您可能能夠復制所有內容,然後將所有未分配的空間(自由空間擦除)歸零,但這可能會限制您將其用於除了試圖找出發生的事情之外的任何其他內容的能力。即使這樣,它也會限制你發現某些類型攻擊的能力。

如果您的目標是尋求刑事或民事訴訟,那麽您就必須進行一場艱苦的戰鬥,以證明對系統狀態的任何修改都適用於任何司法管轄區的證據。從對方的專家證人的位置來看,我到處都是下雨。這類似於在調查謀殺現場之前清理墻壁。

轉載註明原文: 系統映像不允許恢復已刪除的文件?