Возникают задачи, требующие чтения USB-флешек так, чтобы исключить запись на указанные накопители какой-либо информации. Например, с целью проведения криминалистических исследований. Во время штатной работы, операционная система может немного “намусорить” на подключенный носитель и исказить данные, будь то временные метки или дополнительные служебные файлы (каталоги). Нам это не нужно, хотим только читать.
Как же обеспечить такое подключение?
Программные средства
Не буду описывать все возможные варианты, их конечно бесчисленное множество. Расскажу именно о тех, с которыми работал лично.
Linux Deft (варианты v5, Zero,
Дистрибутив LiveCD Linux для криминалистических исследований (один из многих). Отличительной особенностью является включенная блокировка записи на подключаемые накопители “из коробки”. То есть подключите флешку или диск – записать на них ничего не получится, только читать. Принудительно, для определенного устройства эту защиту можно выключить (ну а иначе не получилось бы снимать образ флешки на какой-нибудь внешний USB-HDD).
Дальше – подключаем флешку и в проводнике видим следующие варианты:
- Monut Volume – монтирование в R/W режиме (опасно). В этот режим переводим свой накопитель, на который нужно поместить образ.
- Mount in protected mode (Read Only) – по определению.
После того, как флешка подмонтирована – идём уже по известному пути:
# dd if=/dev/... of=...
либо, что мне больше нравится – ddrescue
Windows
Создаём раздел реестра (если нет):
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\
Создаём параметр: Deny_Write
(Dword32) = 1
Перезагружаем систему (вопреки расхожему мнению, что мол, будет работать сразу).
Подключаем накопитель и пробуем записать (или удалить) с него что-нибудь:
Ну и дальше снимаем образ флешки или что мы там ещё хотели делать? Кстати, упомянутая ddrescue есть и под Windows (проект Cygwin), запилю как-нибудь статейку отдельную.
Аппаратные средства
Вот тут начинается самое интересное – наибольшей защитой (кмк) обладают именно аппаратные средства, блокирующие операции записи на уровне встроенного контроллера.
Например вот такое:
Работает просто – подключаем флешку, подключаем к хосту, даём питание – и на хост прокидывается эта флешка в режиме “только чтение”.
Comments: