对 NTFS 卷的未分配块/扇区执行数据雕刻

我使用过一款名为布莱克尔斯从侦探工具包提取（复制）（输出）NTFS卷的未分配块/扇区。默认情况下，没有其他开关/选项，blkls将复制/提取未分配的块设备/磁盘/分区/卷到标准输出。

blkls /dev/sdb1 | bzip2 1>> /media/another-drive/unallocated.img

由于大多数块/扇区都是空的，我想压缩可用空间（空块），这样就不会得到一个大小为数百 GB 的文件。我将 blkls 的标准输出通过管道传输到 gzip 压缩。我还尝试了 bzip2（它对处理器/资源的占用更大）。压缩确实成功地将生成的图像文件的大小控制在数百兆字节。但是，似乎我无法执行数据雕刻在由 blkls 生成的压缩输出 blob 上，该输出由 bzip 和 gzip2 压缩（动态）。

我使用 foremost、scalpel 或 photorec 的唯一方法是否是获取运行 blkls 产生的压缩输出并解压缩？这将导致图像文件大小达到数百 GB，而我并不想这样。

是否有某种压缩算法可供我使用，以便 foremost、scalpel 或 photorec 可以将其雕刻成压缩形式（无需解压/提取）？是否有一种压缩算法可以简单地压缩它接收的任何输入二进制数据流（源）的空白/可用空间（“0”？

我知道这些块中的大多数都是空的（其中没有数据），因为这个 NTFS 卷是辅助数据存储备份，而不是操作系统卷。所有数据几乎都是按顺序写入的，几乎没有覆盖或删除。

我正在寻找任何部分写入或错误写入 NTFS 卷的文件片段。

链接：

http://www.sleuthkit.org/sleuthkit/man/blkls.html

http://wiki.sleuthkit.org/index.php?title=Blkls

在你最喜欢的 GNU/Linux 发行版的存储库中搜索名为“SleuthKit”的软件包

提示： - grml 是一个基于 Debian 测试分支的实时发行版，它已捆绑/预安装最新版本的 TheSleuthKit，可在启动时使用（版本 3.2.3）。

如果有人能提供任何有用的信息提示，或者对本文涉及的任何主题有任何见解，我将不胜感激。谢谢，并致以问候。