Schauen Sie sich hfsdebug an, um die Blocknummer zu erhalten.
Wie erhalte ich den Sektor / die Nummer einer Datei?
1241
user81678
Ich möchte wissen, wo sich eine bestimmte Datei auf meiner Festplatte befindet.
Kann ich das mit allen Mitteln bekommen?
Ich verwende Mac OS X (Intel) mit einer Hitachi-Festplatte.
Ich hätte gedacht, dass fileXray dies tut, aber es scheint nicht so.
Daniel Beck vor 13 Jahren
0
2 Antworten auf die Frage
1
Florenz Kley
Es sieht so aus, als ob Sie hfsdebug nicht mehr von dieser Site herunterladen können. Es ist nicht so, als würde man eine zufällige Binärdatei von einer anderen Site herunterladen und hoffen, dass sie legitim ist :)
Blair Zajac vor 13 Jahren
0
1
Fleetwood
Es gibt eine großartige Forensics-Software, die auf Unix-ähnlichen Systemen (am besten) unter dem Namen The Sleuth Kit (TSK) funktioniert. Es ist eine Sammlung von Apps. Insbesondere wird eine solche App aufgerufen ifind.
Versuchen:
ifind -n Users/(Username)/Documents/(filename.doc) /dev/sda1 und die Block- / Sektornummern (/? cluster?), die den Inhalt der angegebenen Datei enthalten, sollten vom ifindProgramm ausgegeben werden .
Eine auf Debian basierende spezialisierte Live-Distribution namens grml kann kostenlos heruntergeladen werden. Es ist bereits die neueste Version von TheSleuthKit installiert. Sie können das ISO-Abbild (mit BitTorrent oder mit einem normalen HTTP-Client (wie einem Webbrowser)) herunterladen, auf eine CD-R brennen und dann Ihren Computer von der CD-R booten.
Wenn das System in grml hochgefahren ist, können Sie ein Terminalfenster öffnen und die Apps im Sleuth Kit verwenden.
Wenn Sie Ihren Mac in einer Live-Linux-Distribution booten, wird Ihre interne Festplatte, auf der wahrscheinlich Ihr Mac OS X-Betriebssystem installiert ist, einer virtuellen "Datei" im Linux-Dateisystem zugeordnet /dev/sda. Die interne Festplatte wird auf ‚a‘ abgebildet werden und alle zusätzlichen Speicher (Block) Geräte, die das Betriebssystem finden werden zu nachfolgenden Buchstaben des Alphabets zugeordnet werden, beispielsweise /dev/sdb, /dev/sdc, usw., beispielsweise USB - Sticks.
Jede Partition auf dem Speichergerät wird einer Nummer zugeordnet, die an den Namen des Geräts im /dev/Ordner (Geräteordner) angehängt wird .
Wenn auf Ihrer internen Festplatte beispielsweise OS X auf der ersten Partition installiert ist (dh, ein HFS + -Laufwerk befindet sich innerhalb der Grenzen der ersten Partition auf diesem Festplattenlaufwerk, wird es vom Betriebssystem * nix folgendermaßen zugeordnet: /dev/sda1oder, falls vorhanden auf der zweiten partition /dev/sdawäre es dann /dev/sda2.
Verwenden Sie /dev/sdadas interne Festplattenlaufwerk als Ganze zuzugreifen. Verwenden Sie /dev/sda1, /dev/sda2, für /dev/sda3den Zugriff auf jede der Partitionen (Speichervolumen) auf der Festplatte.
Finden Sie heraus, wie das nix-Betriebssystem / dev / files zugeordnet hat, indem Sie Folgendes verwenden:
fdisk -l /dev/sd* oder
blkid /dev/sd* Wenn Sie wissen, welcher Partitionszuordnung das Betriebssystem zugeordnet ist, in dem das SleuthKit das Quellvolume ausführt, aus dem Sie Daten extrahieren möchten, können Sie die praktischen Tools des Sleuth-Kits verwenden.
Verwandte Probleme
-
3
Beschleunigung der Bootzeiten von OS X bei einem Jahr alten MBP
-
3
Wie ordnen Sie ein Airport Time Machine-Backup nach der Migration auf einen neuen Mac wieder zu?
-
6
Wie können Sie den Startton auf einem Mac stummschalten?
-
5
Warum wird mein Macbook bei der Verwendung von Boot Camp extrem heiß?
-
5
Das Macbook Pro stößt ständig alles aus, was ich in das interne optische Laufwerk eingelegt habe
-
7
Gibt es unter Mac OS X ein Strg + Tab-Äquivalent?
-
6
Weg, um Time Machine-Daten auf eine neue Festplatte zu migrieren
-
13
Setzen Sie die Windows-Position von Mac OS X nach dem Abnehmen des externen Monitors zurück
-
10
Sicherungssoftware für Mac OS X
-
5
Wie kann ich unter Mac OS X einen .kext deinstallieren und entfernen?