Como explorar uma imagem do ddrescue manualmente / interativamente?

Navegue suas respostas
1

Eu tenho uma imagem do ddrescue contendo dados de uma partição do Btrfs cujos primeiros GBs foram sobrescritos. Portanto, o sistema de arquivos não pode ser montado, portanto, os arquivos não podem ser acessados através de nenhum sistema de arquivos como tal - apenas como dados brutos. Eu já tentei usar TestDisk / PhotoRec para esculpir os dados desta imagem dd, e eu consegui recuperar muitos arquivos. No entanto, o que eu preciso agora é de poder explorar essa imagem dd de forma mais completa e interativa (ao contrário de usar algum software de recuperação automatizada de arquivos). Como posso fazer isso?

    
por Tocell 10.11.2017 / 19:53

1 resposta

0

Veja uma ideia difícil para você começar:

  • Crie um sistema de arquivos (vazio) que seja o mais semelhante possível para o que foi espancado. Eu acho que fazer o mesmo tamanho é provavelmente bastante importante; tente replicar tantos outros parâmetros como você pode lembrar, recuperar ou reconstruir.
  • Estime quanto de seu sistema de arquivos foi sobrescrito; digamos que tenha 3 GB.
  • Faça uma cópia da sua imagem e sobrescrever seus primeiros 3 GB com os primeiros 3 GB do sistema de arquivos vazio.
  • Veja o progresso que você pode fazer nessa imagem híbrida.

A princípio, eu sugeriria que você usasse debugfs , mas então lembrei que ele suporta apenas sistemas de arquivos ext2 / ext3 / ext4. Mas veja se você pode encontrar ferramentas que lidem com o seu tipo de sistema de arquivos. Tente procurar por "ferramentas forenses de computador".

    
por 11.11.2017 / 07:17

Tags

O Windows 10 não hibernará (a hibernação está ativada) Depois de restaurar o registro via RegBack, como identificar a causa raiz