The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Восстановить данные из образа флешки"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на рабочей станции (Разное / Linux)
Изначальное сообщение [ Отслеживать ]

"Восстановить данные из образа флешки"  +/
Сообщение от Alexder (?), 23-Фев-21, 15:35 
Добрый день всем!

Принесли тут флешку с какой-то очень важной информацией - дрова, софт и активатор к какой-то уникальной неновой железяке. Купленной в лохматые года толи во Франции, толи в Испании. Следов фирмы-производителя в интернете найти не удалось. Беда в том, что полетела ФС. Хозяин трясётся и боится выпускать флешку лишний раз из рук. Разрешил сделать образ для дальнейшего изучения. Флешка хорошо и без ошибок прочиталась с помощью dd, размер образа и размер флешки совпадают. Примонтировать сходу образ не удалось:
# mount -t vfat -o loop=/dev/loop2 /media/Flash01.dd /mnt
mount: /mnt: wrong fs type, bad option, bad superblock on /dev/loop2, missing codepage or helper program, or other error.

# mount -t ntfs /dev/loop2 /mnt
NTFS signature is missing.
Failed to mount '/dev/loop2': Invalid argument
The device '/dev/loop2' doesn't seem to have a valid NTFS.
Maybe the wrong device is used? Or the whole disk instead of a
partition (e.g. /dev/sda, not /dev/sda1)? Or the other way around?

# kpartx -av /media/Flash01.dd
подключает loop молча, несмотря на флаг -v

# losetup
NAME SIZELIMIT OFFSET AUTOCLEAR RO BACK-FILE                    DIO LOG-SEC
/dev/loop2             0      0         0  0 /media/Flash01.dd

# file -s /dev/loop2
/dev/loop2: data

Чем ещё можно воспользоваться для восстановления доступа к данным? VМожно не под линукс, но чтоб умел работать с raw-файлом образа. Пока рою Интернет, но просветления нет.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 23-Фев-21, 16:13   +/
из того, что я помню — testdisk, может binwalk чего найдет

> Флешка хорошо и без ошибок прочиталась с помощью dd

хоть strings на дамп запусти, а то вдруг контроллер кашу выдал

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #5

2. Сообщение от Аноним (-), 23-Фев-21, 16:27   +/
ntfs на флешке , бггга  так иму инада
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 23-Фев-21, 19:51   +/
>Maybe the wrong device is used? Or the whole disk instead of a
>partition (e.g. /dev/sda, not /dev/sda1)? Or the other way around?

https://superuser.com/questions/117136/how-can-i-mount-a-par...

Если не можете по-английски, наймите в компанию переводчика ;)

Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Ann None (?), 25-Фев-21, 10:15   +/
> Чем ещё можно воспользоваться для восстановления доступа к данным? VМожно не под
> линукс, но чтоб умел работать с raw-файлом образа. Пока рою Интернет,
> но просветления нет.

https://www.r-studio.com/ru/

готовьте кошелек.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

5. Сообщение от Аноним (5), 25-Фев-21, 12:05   +/
> из того, что я помню — testdisk

Testdisc c photorecord должен восстановить если ФС не компресована и не шифрована. Для сильно фрагментированной FS восстановление хуже.

Еще можно пробовать:
http://anyfs-tools.sourceforge.net/ru/man8/anyfs-tools.8.html
http://anyfs-tools.sourceforge.net/ru/man8/anysurrect.8.html

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

6. Сообщение от Аноним (-), 27-Фев-21, 03:48   +/
Ему с такими знаниями при готовности кошелек достать лучше в лабу занимающуюся data recovery сунуться. Сильно эффективнее будет, если человек не знает что делать с убитой ФС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10

7. Сообщение от Аноним (-), 27-Фев-21, 03:55   –1 +/
Для начала посмотреть что там за файловая система, насколько вменяема таблица разделов и проч.

После этого понимания -
1) Посмотреть глазами на дестрой, насколько это вообще на ту или иную ФС похоже.
2) Определившись с типом ФС - сделать _копию_ образа и fsck (или что там) той ФС на _копии_ прогнать. Дабы посмотреть что вообще там порушилось.
3) Если это не прокатило - понять насколько разрушено и, возможно, resort к либо продвинутым утилитам читающим немонтированное, либо хексэдитором вынуть самое ценное.

4) Если нечто не под Linux - в чем проблема ему raw файл отдать, даже если он сам это не умеет? А, вы так не умеете? Блин, обратитесь в лабораторию какую-нибудь, при таких знаниях в устройстве ФС и проблемах оных вам тяжко будет что-то осмысленное сделать.

А так есть софт который читает без монтирования - своим парсером. Ему может быть более-менее пофиг на отсуствие или дестрой некоторых из структур ФС. Но возможно что это оверкилл. См. ntfs* в линухе, например.

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Павел Отредиезemail (?), 02-Мрт-21, 16:37   +/
>[оверквотинг удален]
>            
>   DIO LOG-SEC
> /dev/loop2            
>  0      0    
>      0  0 /media/Flash01.dd
> # file -s /dev/loop2
> /dev/loop2: data
> Чем ещё можно воспользоваться для восстановления доступа к данным? VМожно не под
> линукс, но чтоб умел работать с raw-файлом образа. Пока рою Интернет,
> но просветления нет.

А что покажет fdisk -l img. Может по типу раздела какая наводка?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

9. Сообщение от Павел Отредиезemail (?), 02-Мрт-21, 16:38   +/
>[оверквотинг удален]
>>   DIO LOG-SEC
>> /dev/loop2
>>  0      0
>>      0  0 /media/Flash01.dd
>> # file -s /dev/loop2
>> /dev/loop2: data
>> Чем ещё можно воспользоваться для восстановления доступа к данным? VМожно не под
>> линукс, но чтоб умел работать с raw-файлом образа. Пока рою Интернет,
>> но просветления нет.
> А что покажет fdisk -l img. Может по типу раздела какая наводка?

А blkid что покажет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

10. Сообщение от Аноним (10), 07-Мрт-21, 10:11   +/
> Ему с такими знаниями при готовности кошелек достать лучше в лабу занимающуюся
> data recovery сунуться. Сильно эффективнее будет, если человек не знает что
> делать с убитой ФС.

Обдерут как липку, а результат будет - автоэкспорт из R-Studio.

Так что имеет смысл просто

dd bs=2M if=/dev/флешка of=/home/me/флешка.iso

И затем натравить R-Studio на /home/me/флешка.iso Ну и чуть чуть translate.google.com

Тоже cильно эффективнее бывает, если человек не знает что делать с убитой ФС.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру