我正在尝试分析给定的 USB 映像 (.DD) 以找出 MFT 表的位置。问题是我在安装 DD 映像时遇到问题。
当我运行 fdisk -l ntfs5.dd 时,这是我得到的输出:
fdisk -l ntfs5.dd
Disk ntfs5.dd: 25 MiB, 26214400 bytes, 51200 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x6f20736b
Device Boot Start End Sectors Size Id Type
ntfs5.dd1 778135908 1919645538 1141509631 544.3G 72 unknown
ntfs5.dd2 168689522 2104717761 1936028240 923.2G 65 Novell Netware 386
ntfs5.dd3 1869881465 3805909656 1936028192 923.2G 79 unknown
ntfs5.dd4 0 3637226495 3637226496 1.7T d unknown
Partition table entries are not in disk order.
以下是用于挂载 DD 映像的命令:
mount -o loop,offset=$((168689522*512)),ro,noatime,noexec,show_sys_files test1/ntfs5.dd newmountdir/
Here's the error message:
mount: wrong fs type, bad option, bad superblock on /dev/loop0,
missing codepage or helper program, or other error
In some cases useful info is found in syslog - try
dmesg | tail or so.
我的目标是想使用 mmls、fls 和 icat 等命令来定位 MFT 表。我尝试了不同的图像(.vdi)并且我能够做到这一点。我只是想更好地了解 DD 这样的原始文件
答案1
我能够使用 读取原始图像的分区kpartx,如下所示:
# mount it to a loop device
kpartx -a -v $imagepath
# determine the loop mount point
losetup -a | grep $imagepath
# then fidsk the mounted loop partitions
fdisk -l /dev/mapper/loop1p1
# unmount it
kpartx -d -v $imagepath