1

大学で、サンプル画像の隠しファイルを見つける練習をしました。私の教授は、この例のイメージのパーティション間の 2 番目の未割り当て領域にあると言いました。jpg ファイルを見つけるには、The Sleuth Kit (TSK) などのツールを使用する必要があります。

mmls、イメージの構造を確認したところ、パーティションを抽出できましたが、隠しファイルが見つかりませんでした。

通常のパーティションのように未割り当て領域を抽出しようとしました $ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407

得られた「画像」をfsstatsflsおよび剖検で検査します。私の論理では、(削除された) ファイルが登録されたファイル システムがなければ、未割り当て領域からファイルを取得する機会はありません。

ファイルを見つける方法を知っていますか?

4

2 に答える 2

1

素早い対応ありがとうございます!

隠しファイルを復元するには、The Sleuth Kit の Scalpel を使用できます

$ scalpel workingcopy-usb.dd -o output

-o output復元されたファイルを配置するフォルダーを指定するパラメーターです。

作業を開始する前に、復元するファイルの種類を指定する必要があります。構成ファイルは次の場所にあります: `/etc/scalpel/scalpel.conf'

于 2017-01-04T22:07:44.593 に答える
1

イメージがファイル システムに保存されていない場合 (つまり、未割り当て領域にランダムに配置された場合)、作成した test.dd イメージに対して彫刻ツール (PhotoRec、メスなど) を使用する必要があります。

剖検は (PhotoRec モジュールを使用して) 未割り当て領域を切り開くので、その方法でも取得できます。

于 2017-01-04T16:21:43.660 に答える