Re: [ml] attivita' forense

> mi piacerebbe il vostro parere su questi 3 punti e una risposta  
> sull'ultima domanda: a quali problemi vado incontro se uso dd su  
> dischi con geometrie differenti? naturalmente il disco per la copia  
> deve essere maggiore o uguale a quello sorgente...ma a parte  
> questo, una differente dimensione dei cilindri cosa può comportare?  
> posso ovviare a queste differenze passando gli opportuni parametri  
> a dd?

Magari è un'idea banale...
dd if=/dev/partizione of=/file/da/qualche/parte
e poi monti il file in loopback (mount -o loop). Questo ti consente  
di andare a verificare i dati presenti su una partizione senza avere  
problemi di geometrie del disco stesso (in più diventa facile da  
gestire, archiviare, mettere su nastro, ecc. ecc.). Sempre che tu non  
debba andare a leggere dati come la partition table (che, comunque,  
puoi leggere con dd sapendo, in base all'architettura della macchina,  
quanti blocchi sul disco occupa) o altri dati che non sono interni ad  
una partizione (servono ai fini di un'analisi forense?).
Rimanendo più aderente alla tua domanda: penso che dd da un disco ad  
un altro con geometria diversa non funzioni (se la partition table  
contiene riferimenti a cilintri e settori, questi sarebbero  
inevitabilmente sbagliati, o giusti per pura coincidenza), però, come  
ben sai, nessuna "impressione a naso" vale una buona prova pratica.
Ciao.
--
Michele Albrigo