我是这个过程的新手,有点挣扎。我目前的大学课程给我分配了一个 .dd 文件来分析。我在虚拟盒环境中使用 Sans Sift,但我不知道如何打开这个文件。我把它保存到我的桌面上,我(在终端中)尝试打开它的所有尝试都失败了。
有人能详细说明如何正确打开此类文件进行分析的过程吗?如果需要更多信息,我会尽力解释。我们正在尝试查看 FAT 并从中获取信息。
答案1
为了补充现有的答案,我建议使用kpartx。
可以通过以下方式安装
sudo apt-get install kpartx
并允许为 dd-image 创建循环设备:
sudo kpartx -a -v file.dd
然后就可以找到/dev/mapper/目录中的文件了。
答案2
DD 文件是磁盘映像文件和硬盘驱动器的副本。
扩展名为 .dd 的文件通常是使用名为 DD 的映像工具创建的。
该实用程序提供了一个命令行界面,用于在运行 UNIX 和 GNU/LINUX OS 的系统上创建磁盘映像。
要查看文件的结构,可以使用 fdisk:
sudo fdisk -l file.dd
fdisk 只显示分区类型,但不显示文件系统,因此需要使用 cfdisk。
sudo cfdisk file.dd
这样我们就知道它是什么文件系统。
要知道要安装的分区从哪里开始(以字节为单位),必须查看“开始”列。
假设您从扇区 92408 开始,每个扇区为 512 字节。
分区的起始位置(以字节为单位)为 92408 * 512,这就是所谓的偏移量。
shell 可以通过输入以下命令进行必要的乘法运算来计算偏移量
$((92408 * 512))
准备好所有需要的东西后,我们将通过输入以下命令来挂载 dd 映像:
sudo mount -t filesystem -o loop, ro, offset = $ ((start * 512)) file.dd mount_point
-t: we indicate the file system
-o: indicates options for mount
loop: it is necessary to convert a static image into a dynamic image.
ro: is in read mode (read-only)
offset: indicates where the partition to mount begins in bytes
start: is the data corresponding to the start column of fdisk or cfdisk