Tool zum Ermitteln des Dateisystems auf Wechselmedien

Da Sie das Dateisystem, das das Gerät verwendet, nicht kennen und Sie auf die Dateien zugreifen möchten, sollten Sie den Pfad "forensisch" verwenden. Einige zufällige Gedanken in KEINER Reihenfolge:

(Die folgenden Progs benötigen / haben keine Installation, außer Nr. 4. Alle Progs können kostenlos verwendet werden.)

1) Gehen Sie zu cgsecurity.org und laden Sie die neueste Version herunter . Es kann viele Arten von Partitionen erkennen. Es ist ein Befehlszeilenprogramm. Entpacken Sie die ZIP-Datei und führen Sie entweder "testdisk_win.exe / list" aus, um zu sehen, ob sie Ihr Gerät erkennt, oder "" testdisk_win.exe "und folgen Sie den Befehlszeilenmenüs mit den Cursorn. Lesen Sie das Handbuch auf der Website, bevor Sie es verwenden. Wenn Sie der Meinung sind, dass Sie eine schlechte Wahl getroffen haben, drücken Sie STRG-C, und führen Sie den Vorgang erneut aus, oder schließen Sie das CMD-Fenster. All dies hilft Ihnen dabei, die Partition zu erkennen (falls dies der Fall ist).

2) Von derselben Postleitzahl (siehe oben) gibt es ein weiteres Programm namens "Photorec" (auch Befehlszeile). Es verwendet Feilenschnitztechniken. Dies bedeutet, dass er gelöschte (oder nicht gelöschte) Dateien anhand ihrer Dateistruktur finden kann. Möglicherweise wird Ihr Gerät als "unformatiertes" Gerät betrachtet und "schnitzen", um alle möglichen Dateien basierend auf ihrer Dateistruktur zu extrahieren

3) Gehen Sie zu accessdata.com und laden Sie FTK Imager Lite Version 2.9.0 herunter. Öffnen Sie FTK Imager -> Datei -> Beweismittel hinzufügen -> wählen Sie "Physical Drive" -> es sollte Ihr Gerät etwas wie "\ device_blah" anzeigen. Vergewissern Sie sich, dass Sie keine anderen Geräte angeschlossen haben, oder stellen Sie sicher, dass Sie sie erkennen und wissen, welches welches ist. Wenn Sie Ihr Gerät dort sehen, klicken Sie auf "Fertig stellen" und das Gerät wird gemountet. Auf der linken Seite des Bildschirms können Sie die Spezifikationen des Geräts sowie die Dateien anzeigen und exportieren.

4) Gehen Sie zu findandmount.com . Das Programm heißt "Partition Find and Mount". Einige zufällige Zeilen von der Website:

• ... findet verlorene Partitionen im schreibgeschützten Modus und stellt sie bereit, sodass Sie mit jedem Dateimanager sicher auf sie zugreifen können
• ... findet verlorene oder gelöschte Partitionen, indem das Speichergerät gescannt und nach bestimmten Signaturen gesucht wird, die den Beginn einer Partition darstellen
• ... Das Suchen und Bereitstellen von Partitionen hängt nicht von den im Master Boot Record (MBR) gespeicherten Informationen ab.
• ... Alle Partitionen sind schreibgeschützt. Sie können Dateien auf solchen Partitionen nicht ändern, sondern nur, um Dateien von dieser Partition zu kopieren. Dies garantiert, dass die Daten nicht vom Betriebssystem oder von Software (einschließlich Malware) geändert werden können.

Es könnte Ihre Partition finden und als schreibgeschützt mounten. Von dort aus sehen Sie Ihre Dateien und extrahieren sie.

Wenn Sie nicht finden, was die Partition oder Ihre Dateien sind, möchten Sie vielleicht eine Frage im Forensic Focus Forum stellen . Vergessen Sie nicht, uns zu sagen, ob und wie Sie Erfolg hatten.

Sorry für den langen Beitrag: P

Da es sich um eine benutzerdefinierte Hardware handelt, wird vermutlich ein Open-Source-Dateisystem verwendet. Brennen Sie eine Ubuntu LiveCD, starten Sie Ihren Computer neu und prüfen Sie, ob die CF-Karte geladen wird. Wenn dies der Fall ist, können Sie Ubuntu verwenden, um herauszufinden, was das Dateisystem ist und ob es Programme in Windows gibt, die es lesen. Wenn dies nicht der Fall ist, können Sie Ubuntu immer zum Übertragen von der CF auf Ihre NTFS-Windows-Festplatte verwenden.