如何低级扫描硬盘以恢复部分覆盖分区中的文件？

Question

根据我个人的经验，大多数文件雕刻者喜欢根据他们检测到的文件系统做出假设。您可以创建一个具有 32GB 偏移量的循环设备，以确保您的扫描仪/文件雕刻器不会被您不感兴趣的看似有效的数据所干扰（即跳过您知道被覆盖的区域）。请注意，偏移量应为 512 字节或 4K 对齐。如果您知道被覆盖的字节的确切大小，请使用它。

losetup --find --show --read-only --offset $((32*1000*1000*1000)) /dev/sdx

然后您可以在该循环设备上使用您喜欢的任何程序。 photorec 就是其中之一，还有其他一些，比如最重要的、手术刀等等。

如果您的分区/逻辑卷开始超过 32GB 标记，您也可以尝试 testdisk。如果您的文件系统具有冗余元数据，您也可以尝试修复该问题，但您需要知道原始分区偏移量（例如 1 MiB）以及找到元数据备份的某种方法。

最好通过覆盖来完成https://raid.wiki.kernel.org/index.php/Recovering_a_failed_software_RAID#Making_the_harddisks_read-only_using_an_overlay_file

覆盖允许您运行fsck或在虚拟/dev/mapper/sdxoverlay设备上写入的一些其他程序，而无需在真实磁盘上实际执行这些写入。

Answer 1

根据我个人的经验，大多数文件雕刻者喜欢根据他们检测到的文件系统做出假设。您可以创建一个具有 32GB 偏移量的循环设备，以确保您的扫描仪/文件雕刻器不会被您不感兴趣的看似有效的数据所干扰（即跳过您知道被覆盖的区域）。请注意，偏移量应为 512 字节或 4K 对齐。如果您知道被覆盖的字节的确切大小，请使用它。

losetup --find --show --read-only --offset $((32*1000*1000*1000)) /dev/sdx

然后您可以在该循环设备上使用您喜欢的任何程序。 photorec 就是其中之一，还有其他一些，比如最重要的、手术刀等等。

如果您的分区/逻辑卷开始超过 32GB 标记，您也可以尝试 testdisk。如果您的文件系统具有冗余元数据，您也可以尝试修复该问题，但您需要知道原始分区偏移量（例如 1 MiB）以及找到元数据备份的某种方法。

最好通过覆盖来完成https://raid.wiki.kernel.org/index.php/Recovering_a_failed_software_RAID#Making_the_harddisks_read-only_using_an_overlay_file

覆盖允许您运行fsck或在虚拟/dev/mapper/sdxoverlay设备上写入的一些其他程序，而无需在真实磁盘上实际执行这些写入。

如何低级扫描硬盘以恢复部分覆盖分区中的文件？

答案1

相关内容