1

我在大学进行了一项练习,以在示例图像中查找隐藏文件。我的教授说它位于示例图像中分区之间的第二个未分配空间中。我们应该使用 The Sleuth Kit (TSK) 之类的工具来查找 jpg 文件。

使用mmls,我检查了图像的结构,并且能够提取分区,但找不到隐藏文件。

我试图像普通分区一样提取未分配的空间 $ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407

fsstats并使用和flsAutopsy检查生成的“图像” 。在我的逻辑中,如果没有文件系统,就没有机会从未分配的空间中获取文件(已删除)文件已注册。

你知道找到文件的方法吗?

4

2 回答 2

1

如果图像未存储在文件系统中(即,它被随机放置在未分配的空间中),您需要在您创建的 test.dd 图像上使用雕刻工具(PhotoRec、手术刀等)。

尸检将雕刻未分配的空间(使用 PhotoRec 模块),所以你也可以这样得到。

于 2017-01-04T16:21:43.660 回答
1

感谢您的快速回复!

要恢复隐藏文件,您可以使用 The Sleuth Kit 中的 Scalpel

$ scalpel workingcopy-usb.dd -o output

-o output是一个参数,用于指定恢复的文件应该放在哪个文件夹中。

在它工作之前,您需要指定要恢复的文件类型。配置文件位于:`/etc/scalpel/scalpel.conf'

于 2017-01-04T22:07:44.593 回答