집에서 외장 하드 드라이브가 실수로 SD 32GB 이미지 카드에 복사되는 사고가 발생했습니다. SD 이미지로 복사해야 합니다.
32GB의 외장 드라이브를 덮어쓴 것으로 추측되지만 디지털 포렌식에 대한 지식으로 볼 때 대부분의 정보는 거기에 있을 것입니다.
사진과 텍스트 파일(주로)을 복구하기 위해 전체 하드 드라이브를 조금씩 분석할 수 있는 좋은 하위 수준 스캐너를 추천해 주실 수 있나요?
전에 testdisk에 대해 알고 있었는데 작동합니까?
이 문제를 해결하는 데 도움을 주셨으면 좋겠습니다.
진심으로 감사드립니다
답변1
내 개인적인 경험으로 볼 때 대부분의 파일 조각사는 자신이 감지한 파일 시스템을 기반으로 가정을 하는 것을 좋아합니다. 32GB 오프셋이 있는 루프 장치를 생성하여 관심이 없는 겉보기에 유효한 데이터(즉, 알고 있는 영역을 건너뛰는 등)로 인해 스캐너/파일 조각기가 방해받지 않도록 할 수 있습니다. 오프셋은 512바이트 또는 4K로 정렬되어야 합니다. 덮어쓰는 바이트의 정확한 크기를 알고 있으면 이를 사용하십시오.
losetup --find --show --read-only --offset $((32*1000*1000*1000)) /dev/sdx
그런 다음 해당 루핑 장치에서 원하는 프로그램을 사용할 수 있습니다. photorec은 그 중 하나이며 가장 중요한 메스 등과 같은 다른 것들이 있습니다.
파티션/논리 볼륨이 32GB 표시를 초과하기 시작하면 testdisk를 시도해 볼 수도 있습니다. 파일 시스템에 중복된 메타데이터가 있는 경우 이를 수정하려고 시도할 수도 있지만 원시 파티션 오프셋(예: 1MiB)과 메타데이터 백업을 찾는 방법을 알아야 합니다.
이는 재정의하여 수행하는 것이 가장 좋습니다.https://raid.wiki.kernel.org/index.php/Recovering_a_failed_software_RAID#Making_the_harddisks_read-only_using_an_overlay_file
덮어쓰기를 사용하면 실제 디스크에 실제로 쓰기를 수행하지 않고도 가상 장치에서 다른 프로그램을 실행 fsck하거나 쓸 수 있습니다 ./dev/mapper/sdxoverlay