标签: forensics

将conv=sync,noerror整个硬盘备份到映像文件时添加有什么影响？

是conv=sync,noerror做司法鉴定的东西时，一个要求吗？如果是这样，为什么参考 Linux Fedora 会出现这种情况？

编辑：

好的，如果我dd没有这样做conv=sync,noerror并且dd在读取块时遇到读取错误（假设是 100M），是否dd只是跳过 100M 块并读取下一个块而不写入任何内容（dd conv=sync,noerror将零写入 100M 的输出 - 这种情况怎么样？）？

如果没有，原始硬盘和输出文件的哈希值是否不同conv=sync,noerror？还是只有在发生读取错误时才会这样？

我有一个包含敏感数据的坏硬盘。由于没有软件可以访问该磁盘，因此我无法使用通常建议的任何工具擦除它。

将磁盘物理分解成非常小的碎片可能就足够了，但这需要一些好的工具来完成。只是在磁盘周围挥动磁铁可能仍然使数据恢复专家可以恢复数据，还是我错了？

清除敏感数据的有效方法是什么？

我正在阅读维基解密常见问题解答（存档在这里），它说：

许多 CD 和 DVD 刻录机会将 DVD 或 CD 刻录机的序列号包含在他们刻录的 CD/DVD 上。如果帖子被截获，该信息理论上可用于追踪制造商及其合作者、分销商、销售代理等。如果您的对手能够拦截您给我们的信件并愿意进行此类昂贵的调查，请考虑是否有财务记录将您与 CD/DVD 刻录机销售联系起来。如果可以，请为 CD/DVD 刻录机支付现金。

这个号码存储在哪里？是否可以通过编写 CD 的设备在软件中访问它？

我发现 Windows 会记录每个事件，例如系统登录/退出、USB 连接的历史记录等。这些都可以在事件查看器中查看。

但我的问题是Windows 7 上的事件日志文件在文件系统的何处？

有没有一种方法/工具可以高度确定地确定光盘写入/刻录的日期和时间？这是关于数据取证的，应该是一个可靠的证据。我已经尝试过 IsoBuster，但它没有显示该曲目的编写日期/时间。

CD 和 DVD 具有唯一的编号，用于标识写入它们的驱动器，称为 RID（刻录机ID实体）。

蓝光（一种新型光学媒体）也有 RID 吗？

这是DVD/CD 刻录机的序列号存储在 CD 上的位置的后续内容？

如果在受感染的系统上您尝试分析新安装的服务或安装服务的时间，您将如何做。我在哪里可以找到 Windows 注册表中某个服务的创建日期？

我有一个用于定制硬件的 CompactFlash 卡。WAV 文件被写入其中。Windows 无法识别媒体并希望对其进行格式化，这排除了 FAT 16/32、NTFS、UDF 等。是否有 Windows 工具可以确定媒体使用的文件系统并可能读取内容？

我试过 dskprobe.exe，但没有用。

之间有什么主要区别dd_rescue，dcfldd和dd？在什么情况下你会使用一个？为什么会有三个不同但相似的程序？

假设我的计算机中有一些敏感文件，我想完全删除它们，这样就没有人可以检索它们。为此，我可以使用该rm命令，但它仍然很容易恢复。所以我选择使用shred用噪音覆盖我的文件然后删除它的命令。

> shred -n 120 -u my_file.txt

但是，我仍然不确定我的方法是否完全安全。
粉碎文件后可以做什么来恢复它？

先决条件

假设我可以使用所有可用的取证软件和实验室设备来恢复我的数据。
假设我想保持硬盘驱动器的物理完整性（因此没有微波炉、火灾或任何物理损坏）。

研究

我也尝试过：

dd if=/dev/zero of=my_file.txt bs=16M status=progress

为了将我的文件内容替换为0。但我不知道这个方法是否比shred.