Когда вы удаляете файл с устройства, скажем, с USB-накопителя, то (без каких-либо дополнительных действий) удаляется только запись в файловой системе, необработанные байты этого файла все еще находятся на устройстве (поэтому работают средства восстановления файлов путем сканирования физических секторов на диске один за другим).

Теперь, если я сделаю

dd if=/path/to/usbdrive of=/backup/usbdrive.img

содержимое USB-накопителя будет скопировано в указанный файл.

Придет ли в место, где находился удаленный файл, dd скопирует нули или скопирует содержимое файла, которое физически все еще там?

|источник

2 ответа2

5

dd просто копирует входной поток байтов в выходной поток байтов. И вход, и выход должны быть фактическим файлом. Он не будет работать с каталогом. Таким образом, в приведенном выше примере, если /path/to/usbdrive является узлом устройства (т. Е. /dev/usb или любым другим ), тогда он выполняет копирование на уровне блоков, поскольку /dev/usb является блочным устройством. Он скопирует содержимое файла, которое все еще было в этом случае. Но вы не сможете указать поток ввода на файл, который вы только что удалили, потому что у вас больше не будет дескриптора.

|источник
1

Он скопирует содержимое удаленного файла (при условии, что он не был перезаписан кем-либо). Однако в месте назначения вы не сможете получить доступ к этому содержимому, так как обращаетесь к нему через файловую систему, и ваша файловая система не знает о существовании файла в этом пространстве (так как он был удален).

Таким образом, с точки зрения криминалистики, dd скопирует весь мусор с кусочками данных, которые были на устройстве-источнике.

Также вы должны понимать, что всегда существует проблема фрагментации, и ваш файл мог не находиться в непрерывном дисковом пространстве. Это создает больше осложнений.

Я надеюсь, что это объясняет это для вас. По крайней мере, если это теоретический вопрос.

С другой стороны, если это практический вопрос, то, я думаю, если бы вы предоставили более точное объяснение того, чего вы пытаетесь достичь, вы бы получили более подробные ответы.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .