The Journal of Digital Forensik, Keamanan dan Hukum memiliki artikel yang sangat baik STUDI PENCITRAAN FORENSIK DALAM KETIADAAN MENULIS-BLOCKERS yang menganalisa forensik capture baik dengan dan tanpa menulis blocker. Dari jurnal:
Praktik terbaik dalam forensik digital menuntut penggunaan blocker ketika membuat gambar forensik media digital, dan ini telah menjadi prinsip inti pelatihan forensik komputer selama beberapa dekade. Prakteknya sudah mendarah daging sehingga integritas gambar yang dibuat tanpa pemblokir tulis segera dicurigai.
Hanya dengan memasang sistem file dapat menyebabkan baca / tulis. Banyak filesystem modern, dari ext3 / 4 dan xfs ke NTFS , semua memiliki jurnal yang memelihara metadata tentang filesystem itu sendiri. Jika daya hilang, shutdown tidak lengkap, atau sejumlah alasan, jurnal ini secara otomatis dibaca dan ditulis kembali ke struktur file di drive untuk menjaga konsistensi sistem file itu sendiri. Ini dapat terjadi selama proses mount, apakah sistem file read-write atau tidak.
Misalnya, dari dokumentasi ext4 , ro
opsi pemasangan akan ...
Mount filesystem hanya baca. Perhatikan bahwa ext4 akan memutar ulang jurnal (dan dengan demikian menulis ke partisi) bahkan ketika dipasang "baca saja". Opsi mount "ro, noload" dapat digunakan untuk mencegah penulisan ke sistem file.
Meskipun perubahan tingkat driver ini tidak mempengaruhi konten file, itu adalah standar forensik untuk mengambil hash kriptografi bukti atas koleksi untuk menjaga rantai penahanan. Jika seseorang dapat menunjukkan bahwa hash, misalnya sha256, dari bukti yang saat ini dimiliki cocok dengan apa yang dikumpulkan, maka Anda dapat membuktikan tanpa keraguan bahwa data drive belum dimodifikasi selama proses analisis.
Bukti digital dapat dikutip sebagai bukti di hampir setiap kategori kejahatan. Peneliti forensik harus benar-benar yakin bahwa data yang mereka peroleh sebagai bukti belum diubah dengan cara apa pun selama penangkapan, analisis, dan pengendalian. Pengacara, hakim, dan juri perlu merasa yakin bahwa informasi yang disajikan dalam kasus kejahatan komputer adalah sah. Bagaimana seorang simpatisan memastikan dengan pasti bahwa bukti-bukti nya diterima di pengadilan?
Menurut Institut Nasional Standar dan Teknologi (NIST), penyelidik mengikuti serangkaian prosedur yang dirancang untuk mencegah pelaksanaan program apa pun yang mungkin memodifikasi isi disk. http://www.cru-inc.com/data-protection-topics/writeblockers/
Sebuah write blocker diperlukan, karena jika setiap perubahan bit untuk setiap alasan-OS, driver-tingkat, tingkat sistem file atau di bawah-maka hash dari dikumpulkan vs sistem dianalisis akan pertandingan lagi, dan diterimanya drive sebagai bukti mungkin menjadi dipertanyakan.
Dengan demikian, blocker tulis merupakan kontrol teknis terhadap kemungkinan perubahan tingkat rendah, dan kontrol prosedural untuk memberikan jaminan bahwa tidak ada perubahan yang dibuat, terlepas dari pengguna atau perangkat lunak. Dengan menghilangkan kemungkinan perubahan, ini mendukung hash untuk digunakan untuk menunjukkan bahwa bukti yang dianalisis cocok dengan bukti yang dikumpulkan, dan mencegah banyak bukti potensial menangani masalah dan pertanyaan.
Analisis artikel JDFSL menunjukkan bahwa tanpa pemblokir tulis, perubahan dilakukan pada drive yang mereka uji. Namun, di sisi sebaliknya - file data individu hash masih akan utuh, sehingga argumen untuk kesehatan bukti yang dikumpulkan tanpa pemblokir tulis ada, tetapi tidak dianggap sebagai praktik industri terbaik.