Инструмент для сохранения диапазона дисковых кластеров в файл

Question

Вчера я удалил (фрагментированный) архивный файл только для того, чтобы обнаружить, что он распакован неправильно, поэтому я остался на мели. К счастью, на диске было мало свободного места, поэтому большая часть места, помеченного как свободное, была из удаленного архива. Я придвинул редактор диска И - больно управляемых тайцами , чтобы получить список кластера варьируется от FAT , которые были отмечены как неиспользуемые. Тогда моей задачей было сохранить эти диапазоны кластеров в файлы, чтобы я мог изучить их, чтобы попытаться определить, какие части были из архива, и рекомбинировать их, чтобы попытаться восстановить удаленный файл.

Это оказалось огромной болью в заднице, потому что редактор диска не имел возможности выбрать диапазон кластеров, поэтому мне пришлось переходить к началу каждого кластера и удерживать Ctrl+Shift+PgDn, пока я не достиг конец диапазона (который обычно длился вечно!)

Я сделал быстрый поиск в Google, чтобы увидеть, смогу ли я найти инструмент командной строки (желательно с версиями для Windows и DOS), который позволил бы мне выполнять такие команды, как:

SAVESECT -c 0xBEEF 0xCAFE FOO.BAR ::save clusters 0xBEEF-0xCAFE to FOO.BAR
SAVESECT -s 1111 9876 BAZ.BIN ::save sectors 1111-9876 to BAZ.BIN

К сожалению, мой поиск оказался пустым.

Есть идеи?


Спасибо!

Answer 1

Вы говорите, что предпочитаете инструмент (приложение), который работает в Windows.

Что ж, есть замечательное программное обеспечение Forensics, которое работает (лучше всего) на Unix-подобных системах и называется Sleuth Kit (TSK). Это коллекция / набор приложений. В частности, одно из таких приложений называется blkls.

Пытаться:

blkls /dev/sda1 1200-1250 1>> /media/usbdrive/<file>

Где <file> - это то место, куда вы хотите сохранить необработанные данные.

В этом гипотетическом примере сектора / блоки с номерами с 1200 по 1250 будут скопированы из раздела / тома, который отображается (системой * nix), в /dev/sda1 в файл вывода / назначения по вашему выбору (в подключенном томе). о, скажем, съемном USB-накопителе). Рекомендуется, чтобы пункт назначения / цель отличались от физического источника от источника данных.

Специализированный live-дистрибутив Linux на основе Debian grml можно скачать бесплатно. На нем уже установлена последняя версия TheSleuthKit. Вы можете загрузить образ .iso (используя BitTorrent или с помощью любого обычного HTTP-клиента (например, веб-браузера)) и записать его на CD-R, а затем загрузить свой компьютер с CD-R.

Когда система загрузится в grml, вы можете открыть окно терминала и использовать Sleuth Kit.

Если вы загрузите свой компьютер с Windows в дистрибутив Linux, ваш внутренний жесткий диск, на котором, вероятно, установлена ваша операционная система Windows, будет сопоставлен с виртуальным "файлом" в файловой системе Linux, называемым /dev/sda .

Внутренний жесткий диск будет сопоставлен с «a», и любые дополнительные устройства хранения (блочные), которые найдет операционная система, будут сопоставлены с последующими буквами алфавита, например /dev/sdb , /dev/sdc и т.д.

Каждый раздел на устройстве хранения сопоставляется с номером, который добавляется к имени устройства в папке /dev/ (device).

Если на вашем внутреннем жестком диске установлена ОС Windows в первом разделе (то есть том NTFS находится в пределах границ первого раздела на этом жестком диске, он будет сопоставлен операционной системой * nix с /dev/sda1 , или если он на втором разделе /dev/sda тогда это будет /dev/sda2 .

Проверьте, как ОС * nix отображает /dev/ files с помощью

fdisk -l /dev/sd*

или же

blkid /dev/sd*

Зная, к какому разделу сопоставления подключена ОС, в которой SleuthKit использует исходный том, из которого вы пытаетесь извлечь данные, вы сможете использовать удобные инструменты The Sleuth Kit.

Answer 2

dd (для Win32) должен позволять вам делать именно то, что вам нужно.