在字符流中搜索子字符串

Question

grep 可以搜索二进制模式，它可能比检查 hexdump 的输出更有效，后者大约大 3 倍：

grep -b `echo -e "\xFE\xED\xFE\xED.."` /dev/sda1 | cut -d: -f1 >offsets

将为您提供字节偏移量；然后您可以使用以下方式提取 1k 块

for o in `cat offsets`
do
    dd if=/dev/sda1 of=block.{$o} bs=1 count=1000 skip=$o
done

这将为每个匹配的偏移量创建一个文件。hexdump之后您可以随时运行这些文件。

Answer 1

grep 可以搜索二进制模式，它可能比检查 hexdump 的输出更有效，后者大约大 3 倍：

grep -b `echo -e "\xFE\xED\xFE\xED.."` /dev/sda1 | cut -d: -f1 >offsets

将为您提供字节偏移量；然后您可以使用以下方式提取 1k 块

for o in `cat offsets`
do
    dd if=/dev/sda1 of=block.{$o} bs=1 count=1000 skip=$o
done

这将为每个匹配的偏移量创建一个文件。hexdump之后您可以随时运行这些文件。

相关内容