Как изучить образ ddrescue вручную / в интерактивном режиме?

426
Tocell

У меня есть образ ddrescue, содержащий данные из раздела Btrfs, чьи первые ГБ были перезаписаны. Следовательно, файловая система не может быть смонтирована, поэтому к файлам нельзя получить доступ через любую файловую систему как таковую - только в виде необработанных данных. Я уже пытался использовать TestDisk / PhotoRec для вырезания данных из этого образа dd, и мне удалось восстановить много файлов. Тем не менее, теперь мне нужно более детально и в интерактивном режиме изучить этот образ dd (в отличие от использования какого-либо программного обеспечения для автоматического восстановления файлов). Как мне это сделать?

1

1 ответ на вопрос

0
G-Man

Вот грубая идея, чтобы вы начали:

  • Создайте (пустую) файловую систему, максимально похожую на ту, которая была засорена. Я думаю, что сделать его такого же размера, вероятно, довольно важно; попытайтесь воспроизвести как можно больше других параметров, которые вы можете запомнить, восстановить или восстановить.
  • Оцените, сколько файловой системы было перезаписано; допустим, это было 3 ГБ.
  • Сделайте копию своего образа и перезапишите первые 3 ГБ первыми 3 ГБ пустой файловой системы.
  • Посмотрите, какой прогресс вы можете сделать на этом гибридном изображении.

Сначала я собирался предложить вам использовать debugfs, но потом вспомнил, что он поддерживает только файловые системы ext2 / ext3 / ext4. Но посмотрите, сможете ли вы найти инструменты, которые обрабатывают тип вашей файловой системы. Попробуйте поискать «компьютерные инструменты судебной экспертизы».

Похожие вопросы