Проблема: Невозможно доверять извлечённой файловой системе (ФС) для анализа — есть риск подмены данных, повреждения метаданных или скрытых артефактов.

Причины:
1. Некорректное создание образа (пропущенные сектора, ошибки ввода-вывода).
2. Неправильное монтирование (read-write вместо read-only).
3. Фрагментированная или повреждённая ФС (битые суперблоки, журнал).
4. Наличие скрытых разделов или данных вне известных границ.

Решение:
1. Проверка хеша образа (если известен оригинальный CRC/SHA):
bash
sha256sum /mnt/evidence/image.dd


2. Валидация ФС средствами fsck (только read-only, без автоматического исправления):
bash
fsck -n /dev/loop0   # для ext4

   fsck_apfs -n /dev/loop0  # для APFS (macOS)


3. Анализ структуры через Sleuth Kit (mmls, fsstat):
bash
mmls /mnt/evidence/image.dd   # проверка таблицы разделов

   fsstat /dev/loop0             # проверка метаданных ФС


4. Проверка целостности журнала (для ext4):
bash
debugfs -R "logdump" /dev/loop0 | head -50


5. Сравнение размеров: сопоставить заявленный размер раздела с реальным объёмом данных (df -h vs lsblk).

6. Если есть backup — выполнить diff с оригиналом через dd/sha256sum посекторно (только легально, с разрешения).

Важно: все проверки проводить на read-only копии образа. Использовать losetup -r для монтирования.