¿Cómo asegurarse de que un file de image de disco NTFS no se está escribiendo cuando se monta?

Tengo un file de image de disco RAW de 500 GB en mi HDD al que he llamado dysk.img y que es el resultado de dysk.img el contenido de una unidad de partición NTFS externa. Su propósito es intentar la recuperación de datos con el progtwig ntfsundelete (y los resultados del escaneo inicial son prometedores).

Antes de eso, sin embargo, me gustaría examinar su contenido actual, no eliminado. Por lo tanto, me gustaría montarlo. Por razones obvias, quiero asegurarme de que el assembly de este file no genere la escritura de un solo bit.

mount --read-only no parece ser la solución, por desgracia. Porque, según el man mount :

Tenga en count que, dependiendo del tipo de sistema de files, estado y comportamiento del kernel, el sistema aún puede escribir en el dispositivo. Por ejemplo, ext3 y ext4 reproducirán el diario si el sistema de files está sucio. Para evitar este tipo de acceso de escritura, es posible que desee montar un sistema de files ext3 o ext4 con las opciones de assembly ro, noload o configurar el dispositivo de bloque en modo de solo lectura, consulte el command blockdev (8).

¿Puede aplicarse lo anterior a NTFS también? Tristemente mount no admite la opción noload

Desafortunadamente, había escrito algunos files con nombres incompatibles con Windows (que contenían el carácter ? ), Y esto hizo que Windows marcara este sistema de files para la verificación progtwigda, por lo tanto, recibo constantes advertencias de ntfsundelete ahora y no puedo ejecutar ntfsundelete sin la opción --force . ¿Puede esto boost aún más el riesgo de algunas escrituras accidentales?

A partir de ahora, solo root tiene acceso de escritura a este file. No estoy seguro si esto es suficiente, como IIUC siempre hay algunos derechos de elevación cuando se monta.

¿Sería útil hacer root al propietario de este file y negarle a cualquier persona, incluso al propietario, el acceso de escritura?

¿Sería útil intentar usar el command blockdev sugerido por man mount para este file? ¿O sería arriesgado o dañino emitir blockdev --setro a un file de image, a diferencia de un dispositivo real?

Related of "¿Cómo asegurarse de que un file de image de disco NTFS no se está escribiendo cuando se monta?"

Parte de la respuesta que está buscando aparece en la cita que ha citado:

establecer el dispositivo de bloque en modo de solo lectura

En tu caso, es un file simple. Así que puedes:

 chmod aw disk.img 

Ni siquiera el propietario necesita escribir en él.

¿Sería útil hacer root al propietario de este file y negarle a cualquier persona, incluso al propietario, el acceso de escritura?

Básicamente, sí, pero restring que root puede eludir la mayoría de las "limitaciones" de permissions. Por lo tanto, debe ejecutar su progtwig de recuperación de datos como un usuario diferente de root .

Si quiere montar el file, simplemente no puede hacer eso. Sin embargo, si el file de image se guarda dentro de un sistema de files que admite chattr (básicamente EXT4 y otros filesystems Linux comunes) , puede hacer que el file sea inmutable:

 chattr +i disk.img 

Ahora ni siquiera root puede hacer algo al respecto. No puede ser escrito o eliminado. Use chattr -i para revertir la bandera después de que haya terminado.

Enfoque alternativo

Si desea extraer datos de una unidad NTFS (posiblemente dañada), puede considerar el uso de RecuperaBit , que es un software que desarrollé para realizar la reconstrucción del sistema de files. Actualmente solo es compatible con NTFS, pero tiene algunas ventajas:

  • No escribe nada en el file de image. En pocas palabras, no es compatible con la escritura en un disco, ya que está orientado a análisis forense digital. Por lo tanto, no te arriesgues a hacerlo accidentalmente.

  • Puede leer el tree de directorys incluso si está roto. Obtendrá la representación más precisa de cada partición, al less a partir de los metadatos disponibles.

He discutido su uso en las siguientes respuestas:

  • Copiando file para bloquear el dispositivo
  • Usar ddrescue para recuperar datos de un disco ntfs defectuoso