Tôi đã sử dụng một ứng dụng có tên blkls từ The Sleuth Kit để trích xuất (sao chép) (đầu ra) các khối / lĩnh vực chưa được phân bổ của một khối NTFS. Theo mặc định, không có công tắc / tùy chọn bổ sung, blkls sẽ sao chép / trích xuất các khối chưa được phân bổ của thiết bị / đĩa / phân vùng / âm lượng sang đầu ra tiêu chuẩn.
blkls /dev/sdb1 | bzip2 1>> /media/another-drive/unallocated.img
Vì hầu hết các khối / lĩnh vực đó đều trống, tôi muốn nén không gian trống (khối trống) vì vậy tôi sẽ không kết thúc với một tệp có kích thước hàng trăm gigabyte. Tôi đã chuyển đầu ra tiêu chuẩn của blkls sang nén gzip. Tôi cũng đã thử bzip2 (bộ xử lý / tài nguyên nhiều hơn). Quá trình nén đã thành công trong việc giữ kích thước của tệp hình ảnh thu được xuống tới hàng trăm megabyte. Tuy nhiên, dường như tôi không thể thực hiện khắc dữ liệu trên blob đầu ra được nén bởi blkls đã được nén (đang hoạt động) bởi bzip và gzip2.
Có đúng là cách duy nhất tôi có thể sử dụng đầu tiên, dao mổ hoặc photorec là lấy đầu ra được nén bằng cách chạy blkls và giải nén nó không? Điều đó sẽ dẫn đến một tệp hình ảnh sẽ có hàng trăm gigabyte và tôi không muốn điều đó.
Có một số thuật toán nén mà tôi có thể sử dụng đầu tiên, dao mổ hoặc photorec có thể khắc ở dạng nén (mà không cần phải giải nén / giải nén) không? Có một thuật toán nén nào chỉ đơn giản là nén không gian trống / trống / trống ('0) của bất kỳ luồng dữ liệu nhị phân đầu vào (nguồn) nào mà nó nhận được không?
Tôi biết rằng hầu hết các khối đó đều trống (không có dữ liệu trong đó) vì ổ NTFS này là bản sao lưu lưu trữ dữ liệu thứ cấp, không phải ổ đĩa Hệ điều hành. Tất cả dữ liệu được ghi lại một cách tuần tự với rất ít ghi đè hoặc xóa.
Tôi đang tìm kiếm bất kỳ đoạn nào của tệp được ghi một phần hoặc ghi không chính xác vào ổ đĩa NTFS.
liên kết:
http://www.sleuthkit.org/sleuthkit/man/blkls.html
http://wiki.sleuthkit.org/index.php?title=Blkls
Tìm kiếm kho lưu trữ GNU / Linux Distro yêu thích của bạn cho gói có tên "SleuthKit"
Mẹo: - grml, một bản phân phối trực tiếp dựa trên nhánh Thử nghiệm của Debian, có phiên bản mới nhất của TheSleuthKit đã được đóng gói / cài đặt sẵn và sẵn sàng sử dụng khi khởi động (phiên bản 3.2.3).
Tôi sẽ đánh giá cao bất kỳ lời khuyên thông tin hữu ích mà bất cứ ai sẽ phải cung cấp, hoặc bất kỳ cái nhìn sâu sắc về bất kỳ chủ đề nào mà bài đăng này chạm đến. Cảm ơn và trân trọng.