堆栈内存溢出
  简体   繁体   English

在示例图像的分区之间的未分配空间中查找文件

[英]Find files in unallocated space between partitions of an example image

 原文  2017-01-04 13:17:38       hidden/ recovery/ computer-forensics

问题描述

I got an exercise in university to find a hidden file in an example image. 我在大学里进行了一次练习,以在示例图像中找到隐藏文件。 My professor said it is located in the second unallocated space between the partitions in this example image. 我的教授说,它位于示例图像中分区之间的第二个未分配空间中。 We should use tools like The Sleuth Kit (TSK) to find a jpg file. 我们应该使用The Sleuth Kit(TSK)之类的工具来查找jpg文件。

With mmls , I checked the structure of the image and I'm able to extract the partitions, but not to find the hidden file. 使用mmls ,我检查了图像的结构,并且能够提取分区,但是找不到隐藏文件。

I tried to extract the unallocated space like a normal partition with $ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407 我尝试使用$ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407提取未分配的空间,就像普通分区$ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407

and inspect the resulting "image" with fsstats , fls and Autopsy. 并使用fsstatsfls和Autopsy检查生成的“图像”。 In my logic there is no chance to get a file from unallocated space without a file system the (deleted) file was registered. 按照我的逻辑,如果没有注册(已删除)文件的文件系统,则没有机会从未分配的空间中获取文件。

Do you know a way to find the file? 您知道查找文件的方法吗?

2 个解决方案

解决方案1
 1 已采纳  2017-01-04 16:21:43

If the image is not stored in a file system (ie it was randomly placed in unallocated space), you'll need to use a carving tool (PhotoRec, scalpel, etc.) on the test.dd image you created. 如果图像未存储在文件系统中(即图像被随机放置在未分配的空间中),则需要在创建的test.dd图像上使用雕刻工具(PhotoRec,解剖刀等)。

Autopsy will carve unallocated space (using the PhotoRec module), so you can get it that way too. 尸检将雕刻未分配的空间(使用PhotoRec模块),因此您也可以通过这种方式获得它。

解决方案2
 1  2017-01-04 22:07:44

Thank you for the fast response! 感谢您的快速回复!

To recover the hidden file you can use Scalpel from The Sleuth Kit 要恢复隐藏文件,您可以使用The Sleuth Kit中的Scalpel

$ scalpel workingcopy-usb.dd -o output

-o output is a parameter to specify in which folder the recovered files should put in. -o output是一个参数,用于指定恢复的文件应放在哪个文件夹中。

Before it is working, you need to specify what kind of files you want to recover. 在工作之前,您需要指定要恢复的文件类型。 The config file is here located: `/etc/scalpel/scalpel.conf' 配置文件位于:`/etc/scalpel/scalpel.conf'

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何查找所有文件,包括隐藏文件和系统文件 - How to find all files, including hidden and system files 使用Bash过滤隐藏文件(用于批处理图像调整大小脚本) - Filter Hidden Files with Bash (for Batch Image Resize Script) 我怎样才能从这个例子开始? - How can I frame break from this example? 使用批处理脚本在驱动器上的每个文件夹中查找和删除 desktop.ini 文件 - Find and delete desktop.ini files in every folder on a drive using a batch script 使隐藏的表列在SSRS 2008 R2中不占用空间 - Make hidden table column take no space in SSRS 2008 R2 仅具有隐藏输入的HTML表单在FireFox中创建了额外的空白 - HTML form with only hidden inputs create extra white space in FireFox 获取隐藏图像的高度? - Get height of hidden image? 可点击的隐藏按钮或图像 - Clickable Hidden Button or Image 查找隐藏的父元素jQuery - Find hidden parent element jQuery 对隐藏文件和系统文件的Powershell测试 - powershell test for hidden and system files
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM