Ho usato un'app chiamata blkls da The Sleuth Kit per estrarre (copiare) (produrre) i blocchi / settori non allocati di un volume NTFS. Per impostazione predefinita, senza opzioni / opzioni aggiuntive, Blkls copia / estrae i blocchi non allocati di un dispositivo / disco / partizione / volume nell'output standard.
blkls /dev/sdb1 | bzip2 1>> /media/another-drive/unallocated.img
Dato che la maggior parte di quei blocchi / settori sono vuoti, volevo comprimere lo spazio libero (blocchi vuoti) in modo da non finire con un file delle dimensioni di centinaia di gigabyte. Ho inviato l'output standard di blkls alla compressione gzip. Ho anche provato bzip2 (che è molto più elaboratore / risorse). La compressione è riuscita a mantenere le dimensioni del file di immagine risultante fino a centinaia di megabyte. Tuttavia, sembra che non riesca a eseguire il carving dei dati sul BLOB compresso dell'output prodotto da BLKL che è stato compresso (al volo) da bzip e gzip2.
È vero che l'unico modo in cui potrei usare principalmente, bisturi o photorec è quello di prendere l'output compresso prodotto eseguendo blkls e decomprimerlo? Ciò comporterebbe un file di immagine che sarebbe tra le centinaia di gigabyte e non lo voglio.
Esiste un algoritmo di compressione che potrei usare in primis, bisturi o photorec che potrebbe scolpire in forma compressa (senza dover decomprimere / estrarre)? Esiste un algoritmo di compressione che comprimerebbe semplicemente lo spazio vuoto / vuoto / libero ('0') di qualsiasi flusso di dati binari di input (sorgente) che riceve?
So che la maggior parte di quei blocchi sono vuoti (non contengono dati) poiché questo volume NTFS era un backup secondario di archiviazione dei dati, non volume del sistema operativo. Tutti i dati sono stati praticamente scritti in sequenza con poca sovrascrittura o cancellazione.
Sto cercando eventuali frammenti di file scritti parzialmente o erroneamente scritti nel volume NTFS.
links:
http://www.sleuthkit.org/sleuthkit/man/blkls.html
http://wiki.sleuthkit.org/index.php?title=Blkls
Cerca nei tuoi repository Distro GNU / Linux preferiti un pacchetto chiamato "SleuthKit"
Suggerimento: - grml, che è una distribuzione live basata sul ramo di test di Debian, ha l'ultima versione di TheSleuthKit già raggruppata / preinstallata e pronta per l'uso all'avvio (versione 3.2.3).
Gradirei qualsiasi utile suggerimento informativo che qualcuno dovrebbe offrire, o qualsiasi approfondimento su qualsiasi argomento su cui questo post tocca. Grazie e saluti.