예제 이미지의 파티션 사이에 할당되지 않은 공간에있는 파일 찾기

Question

예제 이미지에서 숨겨진 파일을 찾기 위해 대학에서 연습을했습니다. 제 교수는 파티션 사이의 두 번째 할당되지 않은 공간에 위치한다고 말했습니다. this example image. jpg 파일을 찾으려면 TSK (The Sleuth Kit)와 같은 도구를 사용해야합니다.

mmls으로 이미지의 구조를 검사하고 파티션을 추출 할 수는 있지만 숨겨진 파일을 찾을 수는 없습니다.

난 fsstats, fls 부검하여 얻어진 "이미지" $ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407

와 같은 일반 파티션 할당되지 않은 공간을 추출 검사하려고. 내 논리에서 (삭제 된) 파일이 등록 된 파일 시스템없이 할당되지 않은 공간에서 파일을 가져올 기회가 없습니다.

파일을 찾는 방법을 알고 있습니까?

Answer 1

이미지가 파일 시스템에 저장되지 않은 경우 (즉, 할당되지 않은 공간에 무작위로 배치 된 경우), 작성한 test.dd 이미지에 조각 도구 (PhotoRec, 메스 등)를 사용해야합니다 .

부검은 할당되지 않은 공간 (PhotoRec 모듈 사용)을 조각하므로 그렇게 할 수도 있습니다.

Answer 2

빠른 응답 감사합니다.

당신은 뒤를 쫓다 키트

$ scalpel workingcopy-usb.dd -o output

-o output에서 메스를 사용하여 숨겨진 파일을 복구하려면있는 복구 된 파일을 넣어한다 폴더를 지정하는 매개 변수입니다.

이 작업을하기 전에 , 복구 할 파일의 종류를 지정해야합니다. 설정 파일의 위치는 다음과 같습니다 :`/etc/scalpel/scalpel.conf '