Estou tentando analisar uma determinada imagem USB (.DD) para descobrir a localização da tabela MFT. O problema é que estou tendo problemas para montar a imagem DD.
Quando eu executo fdisk -l ntfs5.dd aqui está a saída que eu recebo:
fdisk -l ntfs5.dd
Disk ntfs5.dd: 25 MiB, 26214400 bytes, 51200 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x6f20736b
Device Boot Start End Sectors Size Id Type
ntfs5.dd1 778135908 1919645538 1141509631 544.3G 72 unknown
ntfs5.dd2 168689522 2104717761 1936028240 923.2G 65 Novell Netware 386
ntfs5.dd3 1869881465 3805909656 1936028192 923.2G 79 unknown
ntfs5.dd4 0 3637226495 3637226496 1.7T d unknown
Partition table entries are not in disk order.
Aqui está o comando usado para montar a imagem do DD:
mount -o loop,offset=$((168689522*512)),ro,noatime,noexec,show_sys_files test1/ntfs5.dd newmountdir/
Here's the error message:
mount: wrong fs type, bad option, bad superblock on /dev/loop0,
missing codepage or helper program, or other error
In some cases useful info is found in syslog - try
dmesg | tail or so.
meu objetivo é usar o comando como mmls, fls e icat para localizar a tabela MFT. Eu tentei em imagem diferente (.vdi) e eu era capaz de fazê-lo. Eu só quero entender melhor em arquivos raw como o DD
Consegui ler as partições de uma imagem não processada com o kpartx, assim:
'' '
# mount it to a loop device
kpartx -a -v $imagepath
# determine the loop mount point
losetup -a | grep $imagepath
# then fidsk the mounted loop partitions
fdisk -l /dev/mapper/loop1p1
# unmount it
kpartx -d -v $imagepath
'' '