我想知道硬盘上某个特定文件的扇区位置。
我可以用任何方法得到它吗?
我正在运行带有日立硬盘的 Mac OS X(Intel)。
答案1
有一款出色的取证软件,在类 Unix 系统上运行得最好,名为 The Sleuth Kit (TSK)。它是一套应用程序。特别是,其中一款应用程序名为ifind。
尝试:
ifind -n Users/(Username)/Documents/(filename.doc) /dev/sda1
并且程序应该输出包含给定文件内容的块/扇区(/?簇?)编号ifind。
一个基于 Debian 的专业实时 Linux 发行版,名为格鲁姆可以免费下载。它已经安装了最新版本的 TheSleuthKit。您可以下载 .iso 映像(使用 BitTorrent 或任何常规 HTTP 客户端(如 Web 浏览器))并将其刻录到 cd-r,然后从 cd-r 启动您的计算机。
当系统启动到 grml 时,您可以打开终端窗口并使用 Sleuth Kit 中的应用程序。
如果您将 Mac 启动到实时 Linux 发行版,您的内置硬盘(可能安装了 Mac OS X 操作系统)将被映射到 Linux 文件系统中名为 的虚拟“文件” /dev/sda。内置硬盘将被映射到“a”,操作系统找到的任何其他存储(块)设备将被映射到字母表中的后续字母,例如/dev/sdb、/dev/sdc等,例如 USB 驱动器。
存储设备上的每个分区都映射到一个数字,该数字附加在(设备)文件夹下的设备名称上/dev/。
例如,如果您的内置硬盘在第一个分区上安装了 OS X(即,HFS+ 卷位于该硬盘驱动器上第一个分区的边界内,则 *nix OS 会将其映射到:/dev/sda1或者,如果它位于的第二个分区上,/dev/sda那么它将是/dev/sda2。
使用/dev/sda可访问整个内部硬盘驱动器。使用/dev/sda1、/dev/sda2、/dev/sda3可访问该硬盘上的每个分区(存储卷)。
使用以下命令探测 nix OS 如何映射 /dev/ 文件:
fdisk -l /dev/sd*
或者
blkid /dev/sd*
了解 SleuthKit 所运行的操作系统(您尝试从中提取数据的源卷)所映射到的分区映射,将使您能够使用 Sleuth Kit 的便捷工具。
答案2
看一下调试获取区块编号。