MFT 테이블의 위치를 알아내기 위해 주어진 USB 이미지(.DD)를 분석하려고 합니다. 문제는 DD 이미지를 설치하는 데 문제가 있다는 것입니다.
fdisk -l ntfs5.dd를 실행하면 다음과 같은 결과가 나타납니다.
fdisk -l ntfs5.dd
Disk ntfs5.dd: 25 MiB, 26214400 bytes, 51200 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x6f20736b
Device Boot Start End Sectors Size Id Type
ntfs5.dd1 778135908 1919645538 1141509631 544.3G 72 unknown
ntfs5.dd2 168689522 2104717761 1936028240 923.2G 65 Novell Netware 386
ntfs5.dd3 1869881465 3805909656 1936028192 923.2G 79 unknown
ntfs5.dd4 0 3637226495 3637226496 1.7T d unknown
Partition table entries are not in disk order.
다음은 DD 이미지를 마운트하는 데 사용되는 명령입니다.
mount -o loop,offset=$((168689522*512)),ro,noatime,noexec,show_sys_files test1/ntfs5.dd newmountdir/
Here's the error message:
mount: wrong fs type, bad option, bad superblock on /dev/loop0,
missing codepage or helper program, or other error
In some cases useful info is found in syslog - try
dmesg | tail or so.
내 목표는 mmls, fls 및 icat과 같은 명령을 사용하여 MFT 테이블을 찾는 것입니다. 나는 다른 이미지(.vdi)를 시도했고 이것을 할 수 있었습니다. DD와 같은 원시 파일을 더 잘 이해하고 싶습니다.
답변1
다음을 사용하여 원본 이미지의 파티션을 읽을 수 있습니다 kpartx.
# mount it to a loop device
kpartx -a -v $imagepath
# determine the loop mount point
losetup -a | grep $imagepath
# then fidsk the mounted loop partitions
fdisk -l /dev/mapper/loop1p1
# unmount it
kpartx -d -v $imagepath