我陷入了一个棘手的问题。背景:昨天,我为我的树莓派制作了一个克隆脚本,将整个正在运行的 pi 文件系统添加到通过以太网连接的计算机上的本地 SD 卡中。已经很晚了,我又饿又累:我将 pi 添加到... /dev/sda,我的计算机主文件系统中,而不是/dev/sdb(SD 卡)。因为所有内容都在内存中运行,所以我在今天早上重新启动之前没有注意到错误...:cry:
因此,我现在得到的是 4go 树莓派文件系统,而不是我的 600go+ 文件系统(它是用 分区的LVM,没有加密,运行 debian jessie,但我不记得初始分区方案),它甚至从它的arm开始就没有启动。 ::cry::cry:cry:(顺便说一句,我使用的是 amd64)
我当前的分区方案如下所示:
SCSI1 (0,0,0) (sda) 640.1GB ATA Hitachi HTS54756
n° 1 primary 64.0MB fat16
n° 2 primary 4.0GB ext4
pri/log 636.1GB free space
或者,以 lsblk 方式:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 4G 0 disk
├─sda1 8:1 0 64M 0 part /boot
├─sda2 8:2 0 4G 0 part /
据我记得,之前是这样的:
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 640.1G 0 disk
├─sda1 8:1 0 2?M 0 part /boot
├─sda2 8:2 0 ?K 0 part
└─sda5 8:5 0 ?G 0 part
├─mycomputer--vg-root 254:0 0 ?G 0 lvm /
├─mycomputer--vg-swap_1 254:1 0 ?G 0 lvm [SWAP]
├─mycomputer--vg-var 254:2 0 ?G 0 lvm /var
├─mycomputer--vg-tmp 254:3 0 ?M 0 lvm /tmp
└─mycomputer--vg-home 254:4 0 ?G 0 lvm /home
我回来所需的一切都已开启/dev/sda5
AFAIK,dd 命令昨天所做的是:
- 在第一个 4go 上写入所有位
- 将“剩余空间”(636.1GB)转换为“可用空间”
如果我是对的,那么我的数据(位于其余部分)必须仍在某个地方。在“自由空间”的某个地方。目标:我想取回我的东西。
多亏了我的愚蠢,我也许能够学到一些关于法医的知识。但现在我还处于零基础。我目前正在下载Caine linux live,但我不确定我应该做什么。
- 有没有办法转储位于“自由空间”中的所有位并进行分析?
- 或者有没有办法
LVM在可用空间上重新创建文件系统而不格式化任何东西? (我不这么认为...)
现在,我尝试学习基础知识Unix 系统取证分析的基本步骤
感谢您的帮助。
答案1
看一眼http://blog.boreas.ro/2007/10/digital-forensic-tools-imaging.html获取工具列表。检查“数据雕刻”部分。
从表面上看,您最终可能会使用文件雕刻工具 - 例如https://github.com/sleuthkit/scalpel。
理论上,您还应该从对磁盘进行映像开始(或者至少小心不要再次写入)。
我会说实话:你应该能够恢复基于文件魔法等模式的文件片段。如果您有大量数据并且不寻找任何特定的内容,那么在没有适当的文件系统结构的情况下将它们全部放在一起将是一项挑战。
祝你好运!