为什么在只读挂载时需要写入阻止程序？

这数字取证、安全和法律杂志 有一篇很棒的文章在没有写保护程序的情况下进行法医成像的研究分析有无写阻止程序的取证捕获情况。摘自期刊：

数字取证的最佳实践要求在创建数字媒体取证图像时使用写保护程序，几十年来这一直是计算机取证培训的核心原则。这种做法根深蒂固，以至于没有写保护程序创建的图像的完整性立即受到怀疑。

仅仅挂载文件系统就会导致读/写。许多现代文件系统，从外部3/4和軟體系到NTFS，都有一个杂志维护文件系统本身的元数据。如果断电、关机不完全或出于其他原因，此日志将自动读取并写回到驱动器上的文件结构中，以保持文件系统本身的一致性。这可能发生在安装过程中，无论文件系统是否可读写。

例如，从ext4 文档安装ro选项将...

以只读方式挂载文件系统。请注意，即使以“只读”方式安装，ext4 也会重放日志（从而写入分区）。挂载选项“ro,noload”可用于防止写入文件系统。

虽然这些驾驶员水平的变化不会影响内容文件，它是一个法医学标准是在收集证据时对其进行加密哈希处理，以保持保管链。如果可以证明当前持有的证据的哈希值（即 sha256）与收集到的证据相匹配，那么就可以毫无合理怀疑地证明驱动器的数据在分析过程中没有被修改。

数字证据几乎可以作为所有犯罪类别的证据。法医调查员必须绝对确定他们获取的证据数据在捕获、分析和控制过程中没有被任何方式改变。律师、法官和陪审员必须确信计算机犯罪案件中提供的信息是合法的。调查员如何确保其证据在法庭上被接受？

根据美国国家标准与技术研究所 (NIST) 的说法，调查人员遵循了一套旨在防止执行任何可能修改磁盘内容的程序的程序。http://www.cru-inc.com/data-protection-topics/writeblockers/

A写阻止程序是必要的，因为如果任何位改变任何原因——操作系统、驱动程序级别、文件系统级别或以下——那么收集的哈希值与分析的系统的哈希值将不再匹配，并且驱动器作为证据的可接受性可能受到质疑。

因此，写阻止程序既是一种技术控制，可防止发生低级更改，也是一种程序控制，可确保不会发生任何更改，无论是用户还是软件。通过消除更改的可能性，它支持使用哈希来显示分析的证据与收集的证据相匹配，并防止许多潜在的证​​据处理问题和疑问。

JDFSL 文章的分析表明，如果没有写阻止程序，他们测试的驱动器就会发生更改。然而，另一方面，单个数据文件哈希仍然完好无损，因此存在不使用写阻止程序收集的证据的可靠性论据，但不被认为是行业最佳实践。

你不能当然。@Giacomo1968 的回答涵盖了大量法律和技术原因，因此我重点关注操作原因。

首先，你绝不安装这样的驱动器，你图像整个设备。你的核心前提是，你可以使用文件系统权限错误。你将使用一些DD 的味道或者专门的采集工具应该默认包括只读工作。

法医鉴定的意义在于绝对地确保你没有在任何阶段篡改证据，并且你可以提供已验证驱动器的副本，没有对其进行任何更改。（事实上，除非你需要进行现场取证，否则你只能接触可疑硬盘一次对其进行成像）。因此，除了您的采集工具是只读之外，它还可以作为防止混乱的第二道防线。

写入阻止程序会执行某些操作。

1. 它转移了证明该驱动器实际上只读
2. 在一个更多的傻瓜式方法 - 它成为你的“获取”装备/流程的一部分
3. 与设备制造商保证这样做——这是您在证据/事件日志中想要看到的内容。

从某种意义上说，它属于过程证据收集，这样你脆弱的自我就不会犯什么错误了。除了验证源驱动器没有被写入之外，如果你混淆了源和目标，它可能会救你一命。

简而言之，它消除了一个可能主要的弱点。您不必考虑“我是否以只读方式安装驱动器”或“我是否在 dd 中交换了源和目标？”

你将其挂接起来，就不必担心是否会覆盖你的证据。

您这样陈述：

如果您只能以只读模式安装磁盘，那么购买诸如写入阻止程序之类的东西有什么意义呢？

让我们从高层次、非技术层面逻辑地看看如何收集证据数据。而这一切的关键是中立性。

你怀疑……某事与法律案件或潜在法律案件有关。他们的证据必须尽可能中立地呈现。对于实体文件，您可以直接拿走印刷材料并将其物理存储在安全的地方。对于数据？计算机系统的本质本身就存在数据操纵问题。

虽然你说你可以从逻辑上将卷安装为“只读”，但你是谁？你以外的人（比如法庭或调查员）怎么能相信你的技能、系统和专业知识？这意味着是什么让你的系统如此特别，以至于一些后台进程无法在你插入系统后立即弹出并开始对其进行索引？你将如何监控这一切？而且，文件元数据呢？文件的 MD5 很有用……但如果文件中元数据的一个字符发生变化，猜猜会发生什么？MD5 会发生变化。

归根结底，从大局来看，您的个人技术技能与您向调查人员、法庭或其他人尽可能中立地呈现数据的能力无关。

进入写入阻止程序。这不是一个神奇的设备。它显然在基础层面阻止数据写入，还有什么？好吧，这就是它所做的一切，这就是它所做的一切应该做（或者不做）。

写入阻止器是由另一家公司按照业界认可的标准制造的中性硬件，可以很好地执行一项任务：防止数据写入。

对于调查人员、法庭或其他人来说，使用写入阻止程序基本上意味着，“我是一名计算机专业人士，我了解数据取证，也知道在向他人提供我负责收集的信息时，数据完整性的必要性。我正在使用我们都同意阻止写入的物理设备来访问这些数据，以向所有人表明，是的，这是你需要做你需要做的事情的证据。”

因此，“购买诸如写保护程序之类的东西”的意义在于购买一种被全世界人民普遍认可为中立数据访问和收集的有效工具。并且如果其他人（不是你）使用类似的写保护程序访问数据，他们也会得到相同的数据。

另一个现实世界的例子是摄像机证据。是的，视频证据确实存在被篡改的风险。但假设你目击了一起犯罪，看到了嫌疑犯，并且知道是他们干的。在法庭上，辩护方在试图为其客户辩护时，会破坏你作为证人的正直。但假设除了你的目击报告外，警方还获得了犯罪发生的视频片段。中立图像捕捉设备那公正、不眨眼的眼睛可以消除你主张的大部分疑虑。这意味着，一个不是人类但可以记录数据的“机器人”将支持检方对辩护方的指控，而不仅仅是你的言辞/信任。

现实情况是，法律和法律的世界实际上取决于坚实、有形且几乎无可辩驳的物理证据。而写阻止程序是一种确保物理数据证据尽可能干净的工具。

使用写入阻止程序的原因在于，犯罪分子可能设置陷阱进程，在发生事件时销毁证据（可能是输入错误的密码、无法访问特定服务器、尝试访问虚假文件等）。

任何陷阱进程基本上都可以尝试以读写方式重新安装该设备。

唯一能确保万无一失的方法是使用硬件设备。一些硬件写阻止程序有一个开关，允许禁用写阻止功能，但最重要的是，如果硬件没有被编程为对软件信号作出反应，那么软件就永远不会影响硬件。

同样的想法也适用于 USB 存储器，为什么有些 USB 存储器确实具有物理写保护开关。

有时调查人员需要能够启动嫌疑人的操作系统，这就是为什么调查人员需要警惕任何陷阱进程。

由于各国的责任法律不同，调查过程也不同。在某些国家，仅仅拥有某些文件就是违法的，保护计算机安全是您的责任，您不能将非法文件归咎于病毒。

而在其他国家，持有该文件可能是违法的，但需要提供证据证明是嫌疑人放置了这些文件而不是病毒。

在第二种情况下，调查人员可能需要启动计算机，以查看在 autostart/run/runonce 中启动时启动的内容。

换句话说，罪犯天生心怀恶意，因此任何可能在法庭上挑战证据有效性的东西都需要不惜一切代价加以保护。此外，如果罪犯设置了自动销毁证据的陷阱，那么在许多情况下，这不会是“销毁证据”，而是手动删除某些内容。如果允许写入，那可能是一场灾难。

独立的硬件进程比软件进程安全得多，因此调查人员使用写阻止程序来保护他们的材料免遭破坏，就像安全专业人员使用智能卡和令牌来防止他们的秘密被泄露一样。