Dê uma olhada no hfsdebug para obter o número do bloco.
Eu quero saber a localização do setor de um arquivo específico no meu disco rígido.
Posso conseguir isso de alguma forma?
Estou executando o Mac OS X (Intel) com um HDD da Hitachi.
Dê uma olhada no hfsdebug para obter o número do bloco.
Existe um excelente software Forensics que funciona (melhor) em sistemas do tipo Unix, chamado The Sleuth Kit (TSK). É uma coleção / suíte de aplicativos. Em particular, um desses aplicativos é chamado ifind
.
Tente:
ifind -n Users/(Username)/Documents/(filename.doc) /dev/sda1
e os números de bloco / setor (/? cluster?) que contêm o conteúdo do arquivo fornecido devem ser gerados pelo programa ifind
.
Uma distribuição Linux ao vivo especializada em Debian chamada grml pode ser baixada gratuitamente. Já tem a versão mais recente do TheSleuthKit já instalada. Você pode baixar a imagem .iso (usando BitTorrent ou qualquer cliente HTTP regular (como um navegador da Web)) e gravá-la em um CD-R e depois inicializar seu computador a partir do CD-R.
Quando o sistema é inicializado em grml, você pode abrir uma janela do Terminal e usar os aplicativos no Sleuth Kit.
Se você inicializar o seu Mac em uma distribuição linux ao vivo, o seu disco rígido interno, que presumivelmente tem seu sistema operacional Mac OS X instalado, será mapeado para um "arquivo" virtual no sistema de arquivos Linux chamado /dev/sda
. O disco rígido interno será mapeado para 'a' e quaisquer dispositivos adicionais de armazenamento (bloco) que o sistema operacional encontrar serão mapeados para letras subseqüentes no alfabeto, por exemplo. /dev/sdb
, /dev/sdc
, etc., por ex. Drives USB.
Cada partição no dispositivo de armazenamento é mapeada para um número que é anexado ao nome do dispositivo na pasta /dev/
(device).
Por exemplo, se o seu disco rígido interno tiver o OS X instalado na primeira partição (ou seja, um volume HFS + reside dentro dos limites da primeira partição naquela unidade de disco rígido, ele será mapeado pelo SO * nix para: /dev/sda1
ou se estiver na segunda partição de /dev/sda
, então seria /dev/sda2
.
Use /dev/sda
para acessar a unidade de disco rígido interna como um todo. Use /dev/sda1
, /dev/sda2
, /dev/sda3
para acessar cada uma das partições (volumes de armazenamento) nesse disco rígido.
Verifique como o sistema operacional nix mapeou / dev / files usando:
fdisk -l /dev/sd*
ou
blkid /dev/sd*
Sabendo em qual mapeamento de partição o SO no qual o SleuthKit está executando o volume de origem do qual você está tentando extrair dados está mapeado para permitir que você use as ferramentas úteis do The Sleuth Kit.