Як отримати місцезнаходження / номер сектору файлу?

1

Хочеться знати місце розташування певного файлу на моєму жорсткому диску.

Чи можу я це отримати будь-якими способами?

Я працюю на Mac OS X (Intel) з Hitachi HDD.

macos  hard-drive  sectors  file-location 
user81678
джерело
Я б подумав, що fileXray це робить, але це не схоже на це.
Даніель Бек

Відповіді:

1

Погляньте на hfsdebug, щоб отримати номер блоку.

Флоренц Клей
джерело
Схоже, ви більше не можете завантажувати hfsdebug з цього веб-сайту. Не так, як хтось хоче завантажити випадковий бінарний файл з іншого сайту і сподіваємось, що це законно :)
Блер Заяк
1

Існує чудовий фрагмент програмного забезпечення Forensics, який працює (найкраще) в системах, подібних Unix, під назвою The Sleuth Kit (TSK). Це колекція / набір програм. Зокрема, називається одна така програма ifind.

Спробуйте: 

ifind -n Users/(Username)/Documents/(filename.doc) /dev/sda1

і блок / сектор (/? кластер?) номери, які містять вміст даного файлу, повинні виводити ifindпрограму.

Спеціалізований дистрибутив Linux на основі Debian, який називається grml, можна завантажити безкоштовно. У ньому вже встановлена ​​остання версія TheSleuthKit. Ви можете завантажити .iso зображення (за допомогою BitTorrent або за допомогою будь-якого постійного клієнта HTTP (наприклад, веб-браузера)) і записати його на cd-r, а потім завантажити комп'ютер з CD-R.

Коли система завантажиться в grml, ви можете відкрити вікно терміналу та користуватися програмами в комплекті Sleuth Kit.

Якщо ви завантажуєте свій Mac у дистрибутив Linux, ваш внутрішній жорсткий диск, на якому, напевно, встановлена ​​операційна система Mac OS X, буде відображений у віртуальний "файл" у файловій системі Linux, що називається /dev/sda. Внутрішній жорсткий диск буде перетворений в «а» , і будь-які додаткові зберігання (блок) пристроїв , що система знахідкою роботи буде співвідносити з подальшими буквами алфавіту, наприклад /dev/sdb, /dev/sdcі т.д., наприклад , диски USB.

Кожен розділ на запам'ятовуючому пристрої відображається на номер, який додається до імені пристрою в /dev/папці (пристрій).

Наприклад, якщо ваш внутрішній жорсткий диск має ОС X, встановлену на першому розділі (тобто, обсяг HFS + знаходиться в межах першого розділу на цьому жорсткому диску, він буде відображатись * nix OS на: /dev/sda1або якщо це на другому розділі /dev/sdaтоді це було б /dev/sda2.

Використовуйте /dev/sdaдля доступу до внутрішнього жорсткого диска в цілому. Використовуйте /dev/sda1, /dev/sda2, /dev/sda3щоб отримати доступ до кожного з розділів (томів зберігання) на цьому жорсткому диску.

Спробуйте, як nix OS відобразила / dev / файли, використовуючи:

fdisk -l /dev/sd*

або

blkid /dev/sd*

Знаючи, на яке відображення розділів відображається ОС, в якій працює SleuthKit, вихідний об'єм, з якого ви намагаєтеся отримати дані, дозволить вам використовувати зручні інструменти Kit Sleuth Kit.

Флітвуд
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.