当计算机想要快速访问硬盘时，他们使用 SATA。USB、火线...对于外部磁盘来说很好，但如果有选择（即当我们谈论计算机内部的磁盘时），计算机使用 SATA。因此，您要使用 SATA。

因此，对于您的分析，您希望：

1. 将整个磁盘复制到新硬盘上进行检查。硬盘复制器通常使用 SATA，因此您需要提取源磁盘并将其与目标磁盘一起插入复制器。好的机械硬盘最高速度约为 100 到 150 MB/s，因此对于 1 TB 的磁盘，这至少需要两个小时。SSD 速度更快，使 SATA 更​​加重要。

2. 将副本插入将进行分析的机器（内部连接，再次是 SATA）。

我建议不要启动机器进行分析，即使是在 CDROM 或 USB 密钥上，因为这需要摆弄 BIOS 设置，从而“污染”犯罪现场。此外，这会将您的选项限制为 USB，而 USB-2.0 的最高速度为 60 MB/s（理论限制，很少达到）。

为了更快的分析，使目标磁盘成为 SSD（它必须足够大以容纳源磁盘的完整副本，并且大型 SSD 很昂贵 - 但速度非常快！）。

就个人而言，我非常喜欢引导到取证 liveCD（任你选，EnCase 工作正常），然后映像到外部驱动器。它便宜、快速且易于移交给第三方（例如执法部门）。

EnCase 有多种从驱动器获取证据的方法。我强烈建议您获取EnCE 学习指南，其中包含有关数据采集方法的大量章节。

几个提示：

• 如果计算机已打开；让它打开。加密卷可能会被解锁/打开。关闭计算机几乎肯定会锁定这些，并且很可能从“有罪”的人那里获得密码。使用内存转储实用程序来获取 RAM 的内容。尽量不要更改计算机上的任何内容。
• 获取具有写入阻止功能的 USB HD 适配器（最好同时具有 SATA 和 PATA）。这些并不是非常便宜，但在大多数情况下使初步检查更快更容易。在某些情况下，复制驱动器是必要的，尤其是在警察介入的情况下。
• Bag-n-tag，拍照（即使是最不起眼的东西），广泛记录一切。

我无法评论...

要添加到@thomas-pornin 答案，您应该考虑可以创建 e01/ex01 证据文件的特定硬件复制器/成像器。这是 EnCase 使用的格式，它支持压缩，无论您使用哪种界面，都可以提高分析速度。它识别具有填充模式的块并将其记录在元数据中，而无需将 KiB 的数据写入驱动器。

我知道有很多硬件复制器支持这一点，但我只熟悉其中一个。 Tableau TD2 或 TD3。