Wie kann man ein ddrescue-Bild manuell / interaktiv erkunden?

494
Tocell

Ich habe ein Ddrescue-Image, das Daten von einer Btrfs-Partition enthält, deren erste GBs überschrieben wurden. Daher kann das Dateisystem nicht gemountet werden, sodass der Zugriff auf die Dateien nicht über ein Dateisystem als solches möglich ist - nur als Rohdaten. Ich habe bereits versucht, TestDisk / PhotoRec zu verwenden, um Daten aus diesem DD-Image herauszuschneiden, und ich konnte viele Dateien wiederherstellen. Was ich jetzt brauche, ist jedoch, dieses dd-Abbild gründlicher und interaktiv erkunden zu können (im Gegensatz zur Verwendung einiger automatisierter Dateiwiederherstellungssoftware). Wie kann ich es tun?

1

1 Antwort auf die Frage

0
G-Man

Hier ist eine grobe Idee für den Einstieg:

  • Erstellen Sie ein (leeres) Dateisystem, das so ähnlich wie möglich ist. Ich denke, es ist wahrscheinlich ziemlich wichtig, es auf die gleiche Größe zu bringen. Versuchen Sie, so viele andere Parameter zu replizieren, wie Sie sich merken, wiederherstellen oder rekonstruieren können.
  • Schätzen Sie, wie viel Ihres Dateisystems überschrieben wurde. Nehmen wir an, es waren 3 GB.
  • Erstellen Sie eine Kopie Ihres Images und überschreiben Sie die ersten 3 GB mit den ersten 3 GB des leeren Dateisystems.
  • Sehen Sie, welche Fortschritte Sie mit diesem Hybrid-Image erzielen können.

Zuerst wollte ich vorschlagen, dass Sie debugfs verwenden, aber dann erinnerte ich mich daran, dass es nur ext2 / ext3 / ext4-Dateisysteme unterstützt. Sehen Sie jedoch nach, ob Sie Tools finden, die Ihren Dateisystemtyp verarbeiten. Suchen Sie nach "Computerforensik-Tools".

Verwandte Probleme