Я использовал приложение под названием blkls из набора Sleuth Kit для извлечения (копирования) (вывода) нераспределенных блоков / секторов тома NTFS. По умолчанию, без дополнительных переключателей / опций, blkls будет копировать / извлекать нераспределенные блоки устройства / диска / раздела / тома на стандартный вывод.

blkls /dev/sdb1 | bzip2 1>> /media/another-drive/unallocated.img

Поскольку большинство этих блоков / секторов пустые, я хотел сжать свободное пространство (пустые блоки), чтобы не получить файл размером в сотни гигабайт. Я передал стандартный вывод blkls в сжатие gzip. Я также попробовал bzip2 (который гораздо больше использует процессор / ресурсы). Сжатие удалось сохранить размер результирующего файла изображения до сотен мегабайт. Тем не менее, кажется, что я не могу выполнить вырезание данных для сжатого большого двоичного объекта вывода, созданного blkls, который был сжат (на лету) bzip и gzip2.

Правда ли, что единственный способ, которым я мог бы воспользоваться, скальпелем или фоторепортажем, - это взять сжатый вывод, полученный при запуске blkls, и распаковать его? Это привело бы к созданию файла изображения размером в сотни гигабайт, и я этого не хочу.

Есть ли какой-нибудь алгоритм сжатия, который я мог бы использовать в первую очередь, скальпель или фоторепарат можно вырезать в сжатом виде (без необходимости распаковывать / извлекать)? Существует ли алгоритм сжатия, который бы просто сжимал пустое / пустое / свободное пространство ('0') любого входного потока двоичных данных (источника), который он получает?

Я знаю, что большинство этих блоков пустые (в них нет данных), так как этот том NTFS был резервной копией хранения данных, а не томом операционной системы. Все данные были в значительной степени записаны в него последовательно с небольшим перезаписыванием или удалением.

Я ищу фрагменты файлов, которые были частично или неправильно записаны на том NTFS.

ссылки по теме:

http://www.sleuthkit.org/sleuthkit/man/blkls.html

http://wiki.sleuthkit.org/index.php?title=Blkls

Найдите в вашем любимом репозитории GNU/Linux Distro пакет с именем "SleuthKit"

Совет:- grml, который является живым дистрибутивом, основанным на ветке тестирования Debian, имеет последнюю версию TheSleuthKit, уже собранную / предварительно установленную и готовую к использованию при загрузке (версия 3.2.3).

Я был бы очень признателен за любые полезные информационные советы, которые кто-либо должен был бы предложить, или за понимание каких-либо вопросов, затрагивающих данную публикацию. Спасибо и всего наилучшего.

1 ответ1

1

Я бы просто взломал быстрый инструмент, чтобы разбить входные данные на блоки по 4 КБ и отбросить все блоки, которые были бы всеми нулями, передавая другие блоки как есть.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .