Найти файлы в нераспределенном пространстве между разделами примерного изображения

Question

У меня есть упражнение в университете, чтобы найти скрытый файл в примере изображения. Мой профессор сказал, что он находится во втором нераспределенном пространстве между разделами в примере this. Мы должны использовать такие инструменты, как The Sleuth Kit (TSK), чтобы найти файл jpg.

С mmls я проверил структуру изображения, и я могу извлечь разделы, но не найти скрытый файл.

Я попытался извлечь незанятое пространство, как обычный раздел с $ dd if=workindcopy-usb.dd of=test.dd bs=512 skip=104448 count=145407

и проверить полученный «образ» с fsstats, fls и Autopsy. В моей логике нет возможности получить файл из нераспределенного пространства без файловой системы (файл) был зарегистрирован.

Знаете ли вы способ найти файл?

Answer 1

Если изображение не хранится в файловой системе (то есть оно было случайно помещено в незанятое пространство), вам нужно будет использовать инструмент вырезания (PhotoRec, скальпель и т. Д.) На созданном вами образе test.dd ,

Вскрытие вырезает нераспределенное пространство (с использованием модуля PhotoRec), так что вы также можете получить его так.

Answer 2

Благодарим за быстрый ответ!

Чтобы восстановить скрытый файл, вы можете использовать скальпель из сыщик Kit

$ scalpel workingcopy-usb.dd -o output

-o output является параметр, чтобы указать, в какую папку восстановленные файлы должны поместить в.

Перед тем, что она работает , вам нужно указать, какие файлы вы хотите восстановить. Конфигурационный файл находится здесь: `/etc/scalpel/scalpel.conf '