当使用只读方式挂载时，为什么需要写阻止程序？

假设我们使用的是Linux版本，并使用以下命令安装分区：

sudo mount -o ro /dev/sdc1 /mnt

该分区应该是只读的，以便操作系统和用户无法在不更改mount权限的情况下写入磁盘。

从取证维基：

写阻止程序是一种允许在驱动器上获取信息而不会造成意外损坏驱动器内容的设备。它们通过允许传递读命令但阻止写命令来执行此操作，因此阻止了它们的名称。

在我看来，这只是为了防止意外标志。该页面还说，某些写阻止程序还有其他功能，例如放慢磁盘速度以防止损坏。但是为此，我们假设它只是一个只能阻止写入的简单操作。

如果您只能以只读模式安装磁盘，那么购买诸如写阻止程序之类的东西有什么意义？这是否只是为了防止发生诸如具有写入权限的意外挂载命令（用户错误，在某些情况下，即刑事案件中是不允许的）之类的事情，还是我缺少文件系统工作方式的更多深入功能？

注意：我知道某些SSD会连续地随机播放数据，因此我不确定是否要在问题中包括它们。看来那样会使事情变得更加复杂。

《数字取证，安全和法律》杂志上 有一篇出色的文章，即在没有写阻止程序的情况下进行取证成像的研究，它分析了有和没有写阻止程序时的取证情况。从日记中：

数字取证的最佳实践要求在创建数字媒体的取证图像时使用写阻止程序，这是数十年来计算机取证培训的核心宗旨。这种做法根深蒂固，以致立即怀疑没有写阻止程序创建的图像的完整性。

仅挂载文件系统可能会导致读/写。从ext3 / 4和xfs到NTFS的许多现代文件系统都具有维护有关文件系统本身元数据的日志。如果断电，不完全关闭或出于多种原因，此日志会自动在驱动器上读写回文件结构，以保持文件系统本身的一致性。无论文件系统是读写的，在挂载过程中都可能发生这种情况。

例如，从ext4文档中，ro安装选项将...

挂载文件系统为只读。请注意，即使以“只读”方式安装，ext4也会重播日志（并因此写入分区）。挂载选项“ ro，noload”可用于防止写入文件系统。

尽管这些驱动程序级别的更改不会影响文件的内容，但取证时采用加密的密码散列以保持监管链是取证标准。如果可以显示当前保存的证据的哈希值（即sha256）与所收集的值匹配，则可以毫无疑问地证明驱动器的数据在分析过程中没有被修改。

在几乎所有犯罪类别中，数字证据都可以被引用为证据。法医调查人员必须绝对确定，他们作为证据而获得的数据在捕获，分析和控制过程中没有任何改变。律师，法官和陪审员需要对计算机犯罪案件中提供的信息合法具有信心。调查员如何确定自己的证据在法庭上得到接受？

根据美国国家标准技术研究院（NIST）的调查，研究人员遵循了一组旨在防止执行可能会修改磁盘内容的程序的程序。http://www.cru-inc.com/data-protection-topics/writeblockers/

一个写阻滞剂是必要的，因为如果所有的位变为任何理由-OS，驱动级，文件系统级或以下，则收集VS分析系统将不再匹配的哈希值作为证据驱动的受理，并可能是质疑。

因此，写阻止程序既是针对低级更改可能性的技术控制，又是一种程序控制，可确保无论用户或软件如何，都不会进行任何更改。通过消除更改的可能性，它支持使用散列来显示分析的证据与收集的证据相匹配，并防止许多潜在的证​​据处理问题。

JDFSL文章的分析表明，没有写阻止程序，就对其测试的驱动器进行了更改。但是，相反的是，各个数据文件的哈希值仍然是完整的，因此存在不使用写阻止程序收集证据的合理性的论点，但并不认为这是最佳行业实践。

你不能确定。@jakegould涵盖了大量的法律和技术原因，因此我将重点放在操作方面。

首先，您永远不会挂载这样的驱动器，而是对整个设备进行映像。您可以使用文件系统权限的核心前提是错误的。您将使用某种形式的DD或专用的获取工具，默认情况下应包括只读工作。

取证就是要绝对确保您在任何阶段都没有篡改证据，并且可以提供驱动器的经过验证的副本，而无需对其进行任何更改。（实际上，除非您需要进行实时取证，否则只需触摸一次可疑硬盘即可对其成像）。因此，除了只读获取工具外，它还可以作为防止混乱的第二道防线。

写阻止程序会执行某些操作。

1. 它转移了证明驱动器实际上是只读的负担
2. 以一种更加愚蠢的方式-它成为您的“获取”装备/过程的一部分
3. 与设备保证由制造商这样做-这是你想要的东西在你的证据/事件日志。

从某种意义上说，它插进了证据收集的过程中，虚弱的人的自我陷入混乱的事情少了一点。 。

简而言之，它消除了一个可能的主要弱点。您不必考虑“我是否以只读方式安装驱动器”或“我是否在dd中交换了源和目的地？”

您将其钩住，如果您重写了证据，则无需担心。

您声明：

如果您只能以只读模式安装磁盘，那么购买诸如写阻止程序之类的东西有什么意义？

让我们在较高的非技术层面上，从逻辑上看待如何收集证据数据。而所有这些的关键是中立。

您怀疑……在法律或潜在法律案件中有事。他们的证据必须尽可能保持中立。如果是实物文件，您只需拿走印刷品，然后将其实际存放在安全的地方。对于数据？计算机系统的本质固有地在起作用中存在数据操纵的问题。

当您声明时，您可以在逻辑上将卷挂载为“只读”，您是谁？而不是您的人（例如法院或调查员）如何信任您的技能，系统和专业知识？这意味着什么使您的系统如此特别，某些后台进程无法突然在系统上弹出并在您插入第二个索引时开始对其进行索引？您将如何监控呢？那么，文件元数据呢？文件上的MD5很有用……但是如果文件中元数据的一个字符发生变化，您会猜到什么呢？MD5更改。

归根结底，是因为您的个人技术技能与您能否向调查员，法院或其他人尽可能中立地呈现数据的能力无关紧要。

输入写阻止程序。这不是一个神奇的设备。显然，它阻止了基本级别的数据写入，还有什么呢？好吧，这就是它要做的一切，那就是它应该做（或不做）的所有事情。

写入阻止程序是另一家公司按照行业认可的标准制造的中性硬件，可以很好地执行一项任务和一项任务：防止数据写入。

对于研究人员，法院或其他人，使用写阻止程序基本上是说：“我是一位计算机专业人员，在提供我负责收集的其他信息时，他们了解数据取证并了解数据完整性的需求。我使用的物理设备我们都同意禁止写操作来访问此数据，以向所有人显示是的，这是您需要做的事情的证明。”

因此，“购买诸如写阻止程序之类的东西”的目的是购买一种工具，该工具被全世界人们普遍认为是用于中立数据访问和收集的有效工具。而且，如果其他人（不是您）将使用类似的写入阻止程序访问数据，那么他们也将获得相同的数据作为回报。

另一个真实的例子是摄像机证据。现在是的，存在视频证据被篡改的风险。但是，假设您目睹了犯罪，并且看到了犯罪嫌疑人，并且知道他们犯罪了。在法庭上，辩护人在为自己的客户辩护时会去掉您作为证人的正直。但可以说，除了您的目击者举报外，警察还获得了犯罪现场的录像。中性图像捕获设备的那只公正，不眨眼的眼睛使您对您的主张的大多数疑惑都化为乌有。意思是，不是人的而是可以记录数据的“机器人”东西将备份针对辩方的起诉案件，而不仅仅是您的话语/信任。

现实是法律世界，而合法性实际上可以归结为扎实，有形且几乎是无可辩驳的物理证据。而写阻止程序是一种确保物理数据证据尽可能干净的工具。

使用写阻止程序的原因是，犯罪分子可能会设置陷阱进程来破坏事件中的证据（可能是错误的密码尝试，无法访问特定服务器，试图访问伪造文件或其他东西）。

任何陷阱过程也基本上可以尝试以读写方式重新安装设备。

确保的唯一方法是使用硬件设备。一些硬件写阻止器具有一个开关，该开关允许禁用写阻止功能，但是最重要的是，如果未对硬件进行编程以对软件信号做出反应，则软件永远不会影响硬件。

为何USB存储器确实具有物理写保护开关，也可以对USB存储器应用相同的功能。

有时调查人员需要能够启动犯罪嫌疑人的操作系统，这就是为什么调查人员需要警惕任何陷阱过程的原因。

由于责任法的不同，调查过程在不同国家之间也不同。在某些国家/地区，仅拥有某些文件是非法的，确保计算机安全是您的责任，并且不能将非法文件归咎于病毒。

在另一个国家，拥有该文件可能是非法的，但需要提供证据证明放置文件的是犯罪嫌疑人，而不是病毒。

在第二种情况下，研究人员可能需要启动计算机，以查看启动时在自动启动/运行/运行时正在启动的内容。

换句话说，罪犯天生就是恶意的，因此任何可能挑战证据在法庭上的有效性的事物都应不惜一切代价加以保护。此外，如果罪犯设置了一个自动销毁证据的陷阱，那么与手动删除某些东西相比，在许多情况下，这将不是“破坏证据”。如果允许写操作，那将是一场灾难。

隔离的硬件过程比软件过程安全得多，因此调查人员使用写阻止程序保护其材料免遭破坏，这与安全专业人员使用智能卡和令牌以防止其机密信息受到破坏的方式相同。