難しい問題に封じ込めました。背景:昨日、私はEthernet経由で接続されているコンピュータのローカルSDカードに実行中のパイファイルシステム全体を追加するラズベリーパイ用のレプリケーションスクリプトを作成しました。遅くてお腹が空いて疲れました。 (SDカード)/dev/sda
ではなく、私のコンピュータのデフォルトのファイルシステムである...にパイを追加しました。/dev/sdb
すべてがメモリで実行されているため、今朝再起動するまでエラーを認識できませんでした... :cry:
だから私が今持っているのは600go +ファイルシステムの代わりに4goラズベリーパイファイルシステムです(パーティション化され、LVM
暗号化されず、debian jessieを実行していますが、初期パーティションスキームは覚えていません)。そして、それでも腕でも変わりませんでした。最初は始めましょう。 ::cry::cry:cry: (しかし私はamd64を使っています)
現在のパーティションスキームは次のとおりです。
SCSI1 (0,0,0) (sda) 640.1GB ATA Hitachi HTS54756
n° 1 primary 64.0MB fat16
n° 2 primary 4.0GB ext4
pri/log 636.1GB free space
またはlsblkモードで:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 4G 0 disk
├─sda1 8:1 0 64M 0 part /boot
├─sda2 8:2 0 4G 0 part /
私が覚えている限り、昔はこんな感じでした。
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 640.1G 0 disk
├─sda1 8:1 0 2?M 0 part /boot
├─sda2 8:2 0 ?K 0 part
└─sda5 8:5 0 ?G 0 part
├─mycomputer--vg-root 254:0 0 ?G 0 lvm /
├─mycomputer--vg-swap_1 254:1 0 ?G 0 lvm [SWAP]
├─mycomputer--vg-var 254:2 0 ?G 0 lvm /var
├─mycomputer--vg-tmp 254:3 0 ?M 0 lvm /tmp
└─mycomputer--vg-home 254:4 0 ?G 0 lvm /home
私が戻ってくるために必要なすべてがオンになっています。/dev/sda5
AFAIK、昨日ddコマンドが実行した操作は次のとおりです。
- 最初の4goですべてのビットを書く
- 「残りスペース」(636.1GB)を「空きスペース」に変換
私の言葉が正しい場合、私のデータ(残りの場所)はまだどこかになければなりません。 「空きスペース」のどこかにあります。目標:私のものを返したいです。
私の愚かさのおかげで、法医学について何かを学ぶことができるかもしれません。しかし今私はまだグラウンドゼロにいます。現在ダウンロードしていますが、Caine linux live
どうすればいいかわかりません。
- 「空き領域」のすべてのビットをダンプして分析する方法はありますか?
LVM
それとも何もフォーマットせずに空き領域にファイルシステムを再作成する方法はありますか? (私はそうは思わない…)
今基本を学びたいです。Unixシステムのフォレンジック分析のための基本的なステップ
ご協力ありがとうございます。
答え1
見てhttp://blog.boreas.ro/2007/10/digital-forensic-tools-imaging.htmlツールのリストを入手してください。 「データフラグメント」セクションを確認してください。
ビューで見ると、ファイルフラグメントツールを使用することもできます。https://github.com/sleuthkit/scalpel。
理論的には、ディスクイメージングから始める必要があります(または少なくともディスクに書き換えないように注意してください)。
正直に言うと、あなたはできるでしょう。また覆うFile Magicのようなパターンに基づくファイルの断片です。データが多く、具体的なものを探していない場合は、適切なファイルシステム構造なしでそれらをすべてまとめるのは難しいでしょう。
頑張ってください!