600Goディスクで4Goデータdd of = / dev / {this disk}を使用した後、そのディスクの空き領域からデータを取得します。

600Goディスクで4Goデータdd of = / dev / {this disk}を使用した後、そのディスクの空き領域からデータを取得します。

難しい問題に封じ込めました。背景:昨日、私はEthernet経由で接続されているコンピュータのローカルSDカードに実行中のパイファイルシステム全体を追加するラズベリーパイ用のレプリケーションスクリプトを作成しました。遅くてお腹が空いて疲れました。 (SDカード)/dev/sdaではなく、私のコンピュータのデフォルトのファイルシステムである...にパイを追加しました。/dev/sdbすべてがメモリで実行されているため、今朝再起動するまでエラーを認識できませんでした... :cry:

だから私が今持っているのは600go +ファイルシステムの代わりに4goラズベリーパイファイルシステムです(パーティション化され、LVM暗号化されず、debian jessieを実行していますが、初期パーティションスキームは覚えていません)。そして、それでも腕でも変わりませんでした。最初は始めましょう。 ::cry::cry:cry: (しかし私はamd64を使っています)

現在のパーティションスキームは次のとおりです。

SCSI1 (0,0,0) (sda) 640.1GB ATA Hitachi HTS54756
n° 1 primary 64.0MB fat16
n° 2 primary 4.0GB ext4
pri/log 636.1GB free space

またはlsblkモードで:

NAME                          MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda                             8:0    0 4G  0 disk 
├─sda1                          8:1    0   64M  0 part /boot
├─sda2                          8:2    0     4G  0 part /

私が覚えている限り、昔はこんな感じでした。

NAME                          MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda                             8:0    0 640.1G  0 disk 
├─sda1                          8:1    0   2?M  0 part /boot
├─sda2                          8:2    0     ?K  0 part 
└─sda5                          8:5    0 ?G  0 part 
  ├─mycomputer--vg-root   254:0    0   ?G  0 lvm  /
  ├─mycomputer--vg-swap_1 254:1    0   ?G  0 lvm  [SWAP]
  ├─mycomputer--vg-var    254:2    0   ?G  0 lvm  /var
  ├─mycomputer--vg-tmp    254:3    0   ?M  0 lvm  /tmp
  └─mycomputer--vg-home   254:4    0 ?G  0 lvm  /home

私が戻ってくるために必要なすべてがオンになっています。/dev/sda5

AFAIK、昨日ddコマンドが実行した操作は次のとおりです。

  1. 最初の4goですべてのビットを書く
  2. 「残りスペース」(636.1GB)を「空きスペース」に変換

私の言葉が正しい場合、私のデータ(残りの場所)はまだどこかになければなりません。 「空きスペース」のどこかにあります。目標:私のものを返したいです。

私の愚かさのおかげで、法医学について何かを学ぶことができるかもしれません。しかし今私はまだグラウンドゼロにいます。現在ダウンロードしていますが、Caine linux liveどうすればいいかわかりません。

  • 「空き領域」のすべてのビットをダンプして分析する方法はありますか?
  • LVMそれとも何もフォーマットせずに空き領域にファイルシステムを再作成する方法はありますか? (私はそうは思わない…)

今基本を学びたいです。Unixシステムのフォレンジック分析のための基本的なステップ

ご協力ありがとうございます。

答え1

見てhttp://blog.boreas.ro/2007/10/digital-forensic-tools-imaging.htmlツールのリストを入手してください。 「データフラグメント」セクションを確認してください。

ビューで見ると、ファイルフラグメントツールを使用することもできます。https://github.com/sleuthkit/scalpel

理論的には、ディスクイメージングから始める必要があります(または少なくともディスクに書き換えないように注意してください)。

正直に言うと、あなたはできるでしょう。また覆うFile Magicのようなパターンに基づくファイルの断片です。データが多く、具体的なものを探していない場合は、適切なファイルシステム構造なしでそれらをすべてまとめるのは難しいでしょう。

頑張ってください!

関連情報