Mounting Images Using Alternate Superblocks « SANS Computer Forensics, Investigation, and Responseから。

ext3などのジャーナリングファイルシステムのパーティションに対してイメージファイルを作成した場合、そのマシンが正常にシャットダウンされていないと、Read Onlyではマウントすることができず、ジャーナルのリカバリを要求される。つまり一度 Read Writeでマウントしないといけない。しかしフォレンジック調査ではこれはまずい。

ではどうするかというと、上の記事にあるようにファイルシステム内にバックアップされている代替スーパーブロックを使えばいい。こちらには Dirtyかどうかの情報が保存されていないので、ジャーナルのリカバリを必要とせずに、そのままマウントすることができる。mountコマンドのオプションで sb=xxxx という感じで、代替スーパーブロックの位置(1KB単位)を指定すればいい。