까다로운 문제에 봉착했습니다. 배경: 어제 저는 실행 중인 전체 파이 파일 시스템을 이더넷을 통해 연결된 컴퓨터의 로컬 SD 카드에 추가하는 라즈베리 파이용 복제 스크립트를 만들었습니다. 늦었고 배고프고 피곤했습니다. (SD 카드) /dev/sda가 아닌 내 컴퓨터의 기본 파일 시스템인 ...에 파이를 추가했습니다. /dev/sdb모든 것이 메모리에서 실행되고 있기 때문에 오늘 아침에 재부팅할 때까지 오류를 인지하지 못했습니다... :cry:
그래서 제가 지금 가지고 있는 것은 600go+ 파일 시스템 대신 4go 라즈베리 파이 파일 시스템입니다(파티션되고 LVM, 암호화되지 않고, debian jessie를 실행하고 있지만 초기 파티션 구성표는 기억나지 않습니다). 그리고 심지어 팔에서도 변경되지 않았습니다. 처음에는 시작하세요. ::cry::cry:cry: (그런데 저는 amd64를 사용하고 있습니다)
현재 파티션 구성표는 다음과 같습니다.
SCSI1 (0,0,0) (sda) 640.1GB ATA Hitachi HTS54756
n° 1 primary 64.0MB fat16
n° 2 primary 4.0GB ext4
pri/log 636.1GB free space
또는 lsblk 모드에서:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 4G 0 disk
├─sda1 8:1 0 64M 0 part /boot
├─sda2 8:2 0 4G 0 part /
제가 기억하는 한, 예전에는 이랬습니다.
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 640.1G 0 disk
├─sda1 8:1 0 2?M 0 part /boot
├─sda2 8:2 0 ?K 0 part
└─sda5 8:5 0 ?G 0 part
├─mycomputer--vg-root 254:0 0 ?G 0 lvm /
├─mycomputer--vg-swap_1 254:1 0 ?G 0 lvm [SWAP]
├─mycomputer--vg-var 254:2 0 ?G 0 lvm /var
├─mycomputer--vg-tmp 254:3 0 ?M 0 lvm /tmp
└─mycomputer--vg-home 254:4 0 ?G 0 lvm /home
내가 돌아오기 위해 필요한 모든 것이 켜져 있어/dev/sda5
AFAIK, 어제 dd 명령이 수행한 작업은 다음과 같습니다.
- 처음 4go에서 모든 비트 쓰기
- "남은 공간"(636.1GB)을 "여유 공간"으로 변환
내 말이 맞다면 내 데이터(나머지 위치)는 여전히 어딘가에 있어야 합니다. "여유 공간" 어딘가에 있습니다.목표: 내 물건을 돌려받고 싶어요.
내 어리석음 덕분에 법의학에 대해 뭔가 배울 수 있을지도 몰라. 하지만 지금 나는 여전히 그라운드 제로에 있습니다. 현재 다운로드 중인데 Caine linux live어떻게 해야 할지 모르겠습니다.
- "여유 공간"에 있는 모든 비트를 덤프하고 분석할 수 있는 방법이 있습니까?
LVM아니면 아무것도 포맷하지 않고 여유 공간에 파일 시스템을 다시 만드는 방법이 있습니까 ? (난 그렇게 생각하지 않아...)
이제 기본을 배워보려고 해요Unix 시스템의 포렌식 분석을 위한 기본 단계
당신의 도움을 주셔서 감사합니다.
답변1
보세요http://blog.boreas.ro/2007/10/digital-forensic-tools-imaging.html도구 목록을 얻으십시오. "데이터 조각" 섹션을 확인하세요.
보기에 보면 파일 조각 도구를 사용하게 될 수도 있습니다.https://github.com/sleuthkit/scalpel.
이론적으로는 디스크 이미징부터 시작해야 합니다(또는 적어도 디스크에 다시 쓰지 않도록 주의).
솔직히 말씀드리자면, 당신은 할 수 있을 것입니다다시 덮다File Magic과 같은 패턴을 기반으로 하는 파일 조각입니다. 데이터가 많고 구체적인 것을 찾고 있지 않다면 적절한 파일 시스템 구조 없이 이를 모두 하나로 모으는 것이 어려울 것입니다.
행운을 빌어요!