有没有办法使用SANS SIFT工作站取得USB驱动器或SD卡的取证声音?也就是说,它是否有内置的写入阻止程序?
答案 0 :(得分:1)
将设备连接到计算机时,您需要注意主机操作系统的功能。 “设备”是虚拟机,主机操作系统可能会在设备执行之前触摸设备。
您最好的选择是使用硬件写入阻止程序。
通过术语“SIFT设备”,我假设您的意思是基于Linux的设备。他们在一些取证类中提供了基于Windows的SIFT工作站。
基于Linux的设备不会自动挂载设备,因此您可以使用dc3dd对设备进行映像,并使用设备本身(例如/ dev / sdb)作为dc3dd的输入。它不会改变任何东西。