硬盘克隆是将源介质原封不动的复制到目标介质,有着跟源介质一样的证据的效果,那么克隆后如何验证克隆后的目标盘能够作为证据呢,相信大家都能够想到使用MD5值来校验。
首先,源介质可以用终端的命令md5sum /dev/磁盘名 ,而复制后的目标介质可以使用Encase这样的取证工具,可以直接计算磁盘的哈希值,而且可以选择一部分去计算,非常方便使用,但是对于磁盘这样的大文件,哈希计算是非常慢的。
