Есть ли способ просмотреть содержимое жесткого диска в шестнадцатеричном или двоичном формате? Я сейчас использую Debian
3 ответа
8
Да, вы можете открыть любое блочное устройство в виде файла. На самом деле, философия Linux - все это файл.
К блочному устройству, к которому вы хотите получить доступ, скорее всего, /dev/hda или /dev/sda . Поскольку это очень большой файл, я предлагаю вам использовать wxHexEditor:
wxHexEditor /dev/sda
С веб-сайта:
wxHexEditor не является обычным шестнадцатеричным редактором, но также может работать как редактор низкоуровневых дисков. Если у вас возникли проблемы с жестким диском или разделом, вы можете восстановить данные с жесткого диска или раздела через редактирование секторов в необработанном шестнадцатеричном формате.
Вы можете редактировать таблицы разделов или восстанавливать файлы из файловой системы вручную с помощью wxHexEditor. Или вы можете проанализировать ваши большие двоичные файлы, разделы, устройства ...
6
В Unix-подобных операционных системах все (включая блочные устройства, такие как жесткие диски) является файлом. Вы можете использовать шестнадцатеричную утилиту для выгрузки файлов (как суперпользователь), чтобы проверить необработанное содержимое дискового устройства. xxd обычно распространяется с пакетом vim-common , но подойдет любая утилита hexdump. Дисковые разделы или любое другое дисковое блочное устройство (например, /dev/mapper/ если вы используете LVM) также могут быть прочитаны. Передайте вывод через less, чтобы вы могли прокрутить и найти вывод:
sudo xxd /dev/sda | less
Если вы хотите найти только печатные символы, вы можете использовать утилиту strings (из пакета binutils ):
sudo strings /dev/sda | less
0
Я пытался сделать некоторые выборочные проверки на некоторых дисках 6 ТБ, которые были стерты. Большинство команд читают до указанного смещения и не ищут смещение. Это проблема на больших входных источниках.
Следующее делает поиск и немедленно / быстро:
sudo dd if=/dev/sda skip=5T count=4kB iflags=skip_bytes,count_bytes 2>/dev/null | od | head
Если диск очищен, некоторые нули отображаются с множителем; в противном случае заголовок не стертых (нулевых) данных отображается на экране.