Linux가 외부 하드 드라이브나 USB 드라이브에 연결되어 있을 때 해당 드라이브에 아무것도 쓰지 못하도록 방지하려는 두 가지 이유가 있습니다.
- 이제 드라이브의 "비어 있는" 부분에서 실수로 삭제된 파일을 복구하세요.
- 디지털 포렌식의 경우 드라이브를 복제할 때 드라이브에 변경된 사항이 없는지 확인해야 합니다.
이 목적을 위해 특별히 드라이브 커넥터와 인클로저가 있으며, 쓰기 명령이 드라이브에 도달하는 것을 물리적으로 차단하는 스위치나 버튼이 있습니다.
그러나 내 USB-IDE 커넥터에는 그런 고급스러움이 없습니다. 소프트웨어를 통해 이 작업을 수행할 수 있다고 들었지만(Ubuntu의 자동 설치를 비활성화해야 하는 경우도 포함) 온라인에서 지침을 찾지 못했습니다.어떻게가서 이것을 해보세요.
우분투에서 쓰기를 방지하는 방법아무것모든 데이터를 유지하기 위해 외장 하드 드라이브에 저장하시겠습니까?
내 특별한 경우에는 Ubuntu를 사용하겠지만, 나는 이렇게 물었습니다.유닉스와 리눅스대신에우분투에 물어보세요내 특정 사례뿐만 아니라 배포판 전반에 걸쳐 작동하는 답변을 찾고 싶습니다. 두 가지 유형의 답변 모두 환영합니다.
답변1
실제 포렌식 시나리오에서는 하드웨어 인터셉터가 꼭 필요합니다. 소프트웨어 차단기는 실수할 위험이 있으므로 충분하지 않으며 법적 소송의 경우 디스크 이미지를 수정하지 않았다는 합리적인 의심을 넘어 주장하고 그 안에서 설명할 수 있는 것이 매우 중요합니다. 기술자가 아닌 사람들을 위한 매우 간단한 용어이며 원래 용어를 수정하는 것은 불가능합니다. 또한 원본 디스크로 수행해야 할 유일한 작업은 새 미디어에 복사본을 만든 다음 해당 복사본을 분석하는 것입니다(다시 쓰기 차단기를 사용하여 추가 복사본을 만들고 해당 복사본에 기록하여 관심 있는 콘텐츠를 찾을 수 있음). 그런 다음 정확한 사본이 보장되어 흥미로운 콘텐츠 추출을 재현하게 됩니다.
그렇다면 다음 명령을 사용하여 블록 장치를 읽기 전용으로 설정할 수 있습니다.blockdev
주문하다.
# blockdev --setro /dev/sde
# mount /dev/sde /mnt/
mount: block device /dev/sde is write-protected, mounting read-only
이는 mount -o ro
장치를 수정할 수 없도록 하기에는 충분하지 않습니다. 저널 파일 시스템의 경우 파일 시스템이 완전히 마운트 해제되지 않으면 읽기 전용 마운트라도 로그를 재생하고 일치하도록 디스크의 파일 시스템을 업데이트합니다. 이를 방지하려면 ext3 또는 ext4를 사용하여 이 옵션을 전달할 수 있습니다 noload
. 하지만 블록 장치를 읽기 전용으로 설정하는 것이 아무것도 기록되지 않도록 하는 더 안전한 방법이며 일부 다른 파일 시스템에서는 유일한 방법일 수 있습니다.
답변2
일반적으로 이 설정이면 충분합니다. 외장 하드 드라이브 복구 중에 이것을 사용했습니다.
먼저 자동 마운트를 비활성화하십시오. (이 작업을 수행하려면 GNOME 설정에서 gconf-editor를 사용할 수 있습니다. 이것이 다른 시스템에서 작동하는지 모르겠습니다). 그런 다음 /dev/sda 또는 /dev/sda1 드라이브를 호출하거나 프로그램에서 호출하는 모든 것을 호출합니다. (sda는 일반적으로 부팅 장치용으로 예약되어 있습니다.이 게시물귀하의 장치가 어떤 SD*인지 알아보세요. 드라이브가 두 개만 연결된 경우 sdb를 사용해 보세요.
간단한 예:
root@yo-machine# dd_rescue /dev/sdc1 /home/user/the-disk-image.img
sdc1
마운트 해제된 장치의 첫 번째 파티션은 어디에 있습니까?
참고: /dev/sda
부팅 섹터 및 MBR 등을 포함하여 전체 장치를 나타냅니다. /dev/sda1
해당 장치의 첫 번째 파티션이 참조됩니다.