Как получить местоположение / номер сектора файла?

1158
user81678

Я хочу знать расположение сектора конкретного файла на моем жестком диске.

Могу ли я получить это любым способом?

Я использую Mac OS X (Intel) с жестким диском Hitachi.

1
Я бы подумал, что fileXray делает это, но это не похоже на это. Daniel Beck 13 лет назад 0

2 ответа на вопрос

1
Florenz Kley

Взгляните на hfsdebug, чтобы получить номер блока.

Похоже, вы не можете больше скачивать hfsdebug с этого сайта, что отстой. Не то чтобы кто-то хочет скачать случайный бинарный файл с другого сайта и надеется, что он законный :) Blair Zajac 13 лет назад 0
1
Fleetwood

Существует замечательное программное обеспечение Forensics, которое работает (лучше всего) на Unix-подобных системах, и называется The Sleuth Kit (TSK). Это коллекция / набор приложений. В частности, называется одно такое приложение ifind.

Пытаться: 

ifind -n Users/(Username)/Documents/(filename.doc) /dev/sda1

и номера блоков / секторов (/? cluster?), которые содержат содержимое данного файла, должны выводиться ifindпрограммой.

Специализированный live-дистрибутив Linux на базе Debian под названием grml можно скачать бесплатно. На нем уже установлена ​​последняя версия TheSleuthKit. Вы можете загрузить образ .iso (используя BitTorrent или с помощью любого обычного HTTP-клиента (например, веб-браузера)) и записать его на CD-R, а затем загрузить свой компьютер с CD-R.

Когда система загрузится в grml, вы можете открыть окно терминала и использовать приложения из комплекта Sleuth Kit.

Если вы загрузите свой Mac в дистрибутив Linux, ваш внутренний жесткий диск, на котором установлена ​​операционная система Mac OS X, будет сопоставлен с виртуальным «файлом» в файловой системе Linux /dev/sda. Внутренний жесткий диск будет сопоставлен с «a», а любые дополнительные устройства хранения (блочные), которые найдет операционная система, будут сопоставлены с последующими буквами алфавита, например /dev/sdb, /dev/sdcи т. Д., Например, USB-накопители.

Каждый раздел на устройстве хранения сопоставляется с номером, который добавляется к имени устройства в /dev/папке (устройство).

Например, если на вашем внутреннем жестком диске установлена ​​ОС OS X в первом разделе (то есть том HFS + находится в границах первого раздела на этом жестком диске, он будет сопоставлен ОС * nix с: /dev/sda1или если он на втором разделе /dev/sdaто было бы /dev/sda2.

Используйте /dev/sdaдля доступа к внутреннему жесткому диску в целом. Используйте /dev/sda1, /dev/sda2, /dev/sda3чтобы получить доступ к каждому из разделов (томов хранения) на этом жестком диске.

Проверьте, как ОС nix отобразил / dev / files, используя:

fdisk -l /dev/sd*

или же

blkid /dev/sd*

Зная, к какому разделу сопоставления подключена ОС, в которой SleuthKit использует исходный том, из которого вы пытаетесь извлечь данные, вы сможете использовать удобные инструменты The Sleuth Kit.

Похожие вопросы