自宅で外付けハードドライブが誤ってSD 32GBイメージカードにコピーされる事故が発生しました。 SDイメージにコピーする必要があります。
32GBの外付けドライブを上書きしたと推測されますが、デジタルフォレンジックに関する知識として見ると、ほとんどの情報はそこにあります。
写真やテキストファイル(主に)を回復するためにハードドライブ全体を少しずつ分析するための良い低レベルスキャナーをお勧めできますか?
以前testdiskについて知っていましたが、うまくいきますか?
この問題を解決するのに役立つことを願っています。
誠にありがとうございます
ベストアンサー1
私の個人的な経験では、ほとんどのファイル彫刻家は自分が検出したファイルシステムに基づいて仮定をするのが好きです。 32GBのオフセットを持つループデバイスを作成して、興味のない見かけ上の有効なデータ(つまり、知っている領域をスキップするなど)がスキャナ/ファイルフラグメントを妨げないようにすることができます。オフセットは512バイトまたは4Kに揃える必要があります。上書きするバイトの正確なサイズがわかっている場合は、それを使用してください。
losetup --find --show --read-only --offset $((32*1000*1000*1000)) /dev/sdx
その後、対応する屋根ふき装置で所望のプログラムを使用することができる。 photorecはそのうちの1つであり、最も重要なメスなどの他のものがあります。
パーティション/論理ボリュームが32 GBの表示を超え始めると、testdiskを試してみることもできます。ファイルシステムに重複したメタデータがある場合は、それを変更しようとするかもしれませんが、生のパーティションオフセット(1MiBなど)とメタデータのバックアップを見つける方法を知る必要があります。
これは上書きして実行するのが最善です。https://raid.wiki.kernel.org/index.php/Recovering_a_failed_software_RAID#Making_the_harddisks_read-only_using_an_overlay_file
上書きを使用すると、物理ディスクへの実際の書き込みを行わなくても、仮想デバイスで他のプログラムを実行または書き込みfsckできます。/dev/mapper/sdxoverlay