在示例图像的分区之间查找未分配 space 中的文件
Find files in unallocated space between partitions of an example image
我在大学里得到了一个练习,在示例图像中找到一个隐藏文件。我的教授说它位于 this 示例图像中分区之间的第二个未分配 space 中。我们应该使用像 The Sleuth Kit (TSK) 这样的工具来查找 jpg 文件。
使用 mmls,我检查了映像的结构并且能够提取分区,但找不到隐藏文件。
我尝试像普通分区一样提取未分配的 space
$ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407
并使用 fsstats、fls 和尸检检查结果 "image"。
在我的逻辑中,如果没有文件系统(已删除的)文件已注册,就没有机会从未分配的 space 中获取文件。
你知道找到文件的方法吗?
如果图像未存储在文件系统中(即随机放置在未分配的 space 中),您将需要在 test.dd 你创建的图像。
Autopsy 将雕刻未分配的 space(使用 PhotoRec 模块),因此您也可以那样做。
感谢您的快速回复!
要恢复隐藏文件,您可以使用 The Sleuth Kit 中的 Scalpel
$ scalpel workingcopy-usb.dd -o output
-o output 是一个参数,用于指定恢复的文件应该放在哪个文件夹中。
在运行之前,您需要指定要恢复的文件类型。配置文件位于:`/etc/scalpel/scalpel.conf'
我在大学里得到了一个练习,在示例图像中找到一个隐藏文件。我的教授说它位于 this 示例图像中分区之间的第二个未分配 space 中。我们应该使用像 The Sleuth Kit (TSK) 这样的工具来查找 jpg 文件。
使用 mmls,我检查了映像的结构并且能够提取分区,但找不到隐藏文件。
我尝试像普通分区一样提取未分配的 space
$ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407
并使用 fsstats、fls 和尸检检查结果 "image"。
在我的逻辑中,如果没有文件系统(已删除的)文件已注册,就没有机会从未分配的 space 中获取文件。
你知道找到文件的方法吗?
如果图像未存储在文件系统中(即随机放置在未分配的 space 中),您将需要在 test.dd 你创建的图像。
Autopsy 将雕刻未分配的 space(使用 PhotoRec 模块),因此您也可以那样做。
感谢您的快速回复!
要恢复隐藏文件,您可以使用 The Sleuth Kit 中的 Scalpel
$ scalpel workingcopy-usb.dd -o output
-o output 是一个参数,用于指定恢复的文件应该放在哪个文件夹中。
在运行之前,您需要指定要恢复的文件类型。配置文件位于:`/etc/scalpel/scalpel.conf'