NTFSとLinuxパーティションの両方を含むディスクの複数のRAWブロックコピーがあります。パーティションテーブルには通常、Windows NTFSパーティションとLinux LVMパーティションの両方があります。スーパータイムライン(log2timeline)を構築するには、これらすべてのパーティションを処理する必要がありますが、LVM内で外部パーティションを見つけるための良い方法が必要です。
用語はよく知っていますが、LVMコマンドにはまったく慣れていません。外部パーティションのバイトオフセットに達すると問題はありませんが、パーティションヘッダーとスーパーブロックを見つけるためにディスクをバイト単位でスキャンしたくありません。
答え1
私の知る限り、Linux LVMカーネルドライバはブロックデバイスを物理ボリュームとしてのみ使用でき、LVMボリュームに簡単にアクセスできるユーザーゾーンツールはありません。したがって、物理ボリュームを次のように表示する必要があります。循環装置。 (Linuxを実行しているとします。そうでない場合は、必要に応じて仮想マシンで実行してください。)
まず、パーティションのオフセットを決定します。次の目的で使用できますfdisk
。
fdisk -lu /path/to/disk.image
目的のパーティションのオフセット(列)を書き留めますStart
(例:123456)。単位は512バイトセクタです。次に、目的のオフセットから始めて、画像からループデバイスを作成します。
losetup -fv -o $((123456*512)) /path/to/disk.image
パーティションはブロックデバイスとして使用できます/dev/loop0
(すでにアクティブなループデバイスがある場合は番号が異なる可能性があります)。
Linuxカーネルには、ループデバイスのパーティションに自動的にアクセスするパッチがあります。 Debian はこれをデフォルトのカーネルに実装します。他のほとんどのディストリビューションはそうではありません。このパッチがあると、losetup -fv /path/to/disk.image
デバイス上でなどのパーティションを/dev/loop0p1
実行してアクセスできます。この機能を有効にするには、ドライバに明示的なパラメータを渡す必要があるかもしれませんrmmod -r loop && modprobe loop max_part=63
。
今実行してくださいpvscan
。これは物理ボリュームとして任意のデバイス名を/dev/loop0
選択する必要があります。/dev/loop0p1
その後、そのボリュームグループをアクティブにし、vgchange -ay
その下の論理ボリュームにアクセスできます/dev/mapper
。