Finden Sie Dateien in nicht zugeordneten Speicherplatz zwischen Partitionen eines Beispielbildes

Question

Ich habe eine Übung in der Universität, um eine versteckte Datei in einem Beispielbild zu finden. Mein Professor sagte, es befindet sich im zweiten nicht zugewiesenen Raum zwischen den Partitionen in this Beispielbild. Wir sollten Tools wie das Sleuth Kit (TSK) verwenden, um eine JPG-Datei zu finden.

Mit mmls, überprüfte ich die Struktur des Bildes und ich bin in der Lage, die Partitionen zu extrahieren, aber nicht die versteckte Datei zu finden.

Ich versuchte, den nicht zugeordneten Speicherplatz wie eine normale Partition mit $ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407

und überprüfen Sie das resultierende „Bild“ mit fsstats, fls und Autopsy zu extrahieren. In meiner Logik gibt es keine Möglichkeit, eine Datei aus nicht zugeordnetem Speicherplatz zu erhalten, ohne dass ein Dateisystem die (gelöschte) Datei registriert hat.

Kennen Sie einen Weg, um die Datei zu finden?

Answer 1

Wenn das Bild nicht in einem Dateisystem gespeichert ist (dh es wurde zufällig in nicht zugewiesenen Speicherplatz platziert), müssen Sie ein Carving-Tool (PhotoRec, Skalpell, etc.) auf dem test.dd Bild verwenden .

Autopsie wird nicht zugeordneten Speicherplatz (mit dem PhotoRec-Modul) schnitzen, so dass Sie es auch so erhalten können.

Answer 2

Vielen Dank für die schnelle Antwort!

die versteckte Datei wiederherstellen Sie Skalpell von The Sleuth Kit

$ scalpel workingcopy-usb.dd -o output

-o output verwenden können, ist ein Parameter, in dem die wiederhergestellten Dateien Ordner angeben sollten in.

Bevor es funktioniert , müssen Sie angeben, welche Art von Dateien Sie wiederherstellen möchten. Die Konfigurationsdatei befindet sich hier: `/etc/scalpel/scalpel.conf '