【发布时间】:2021-08-28 18:11:09
【问题描述】:
对不起,标题这么模糊
我有一个磁盘映像 disk.raw,我使用 Sleuth Kit 及其命令 blkls disk.raw 1-8000 > carved 从中雕刻已删除的文件,该命令将未分配块中从 1 到 8000 的数据放入文件中(我知道我的已删除文件在哪里)
所以我的输出是一个文件,其中包含一些数据和许多空格。例如,如果我在记事本上打开它,我会收到如下文本:
1 4 µ½;ÓóÆJv4éA°¿S*îÔy÷è„¡d:ÄÕԈȤÒX2ÛK]8øâ†+[ÛÖ7jiº;Îàdƒ”ÜRÒ€
¥¾‘…λ5y)‹F¹ž8rÀÉø±9ŸÎ:ÿf¤$cªW›
jȉ…j,ܬ3®°d¥²¥®:Þ FhãŽß[ÔÀZ
÷·Îâ#§B¢† Uƒ†=qÁ[е#Sy(JØš#œKÊÏ9êþáð0•›nÊÑ=q¡ŽšOk'ë#ëÚšÚjN1V&l?Hù´m,0㼕(nôTúèªÎb4z
„áñP$¼YèÐ%É‚YSÄÔΔú%ió΃P¥ð"÷…ž8«¾oÀE‚f¤X§üS(‘Àº.8H§÷ëü1¥ãùBÁ
ÏÉε”˜Ê<wªf”œàºš¯+kô¨§
÷*ÎÛMøÈ”Âqú2>XME[9¿
[æÀ‹dJ¹—×™
@¦e³ž‹
&ýãY
™qA›¥ì„5šI‰h{?–hZ%"?mÓ{ƒÌ‡5mf
R‹sàì‰;½˜\E€Îñ$‡jYÀK%ØnDwí[=û Ú‘;1„LQP!ðè.¦(w
‘ªb,†ä‚ž8®©8¢BMMã×›Œx
£®‘ÚFëÖбgi·ÖŠ.O&ÂëR¹5–{íy˜÷æ¡žÜç¦^ñbj˜1Úî5G)©Äš¸#¡
? qâ1q[µ£É>½¥f–#žÞPžR›#T3lÂ.DcSÚ˥ѹ‹e¬·!$ù“àYž{¨Ü˜ÉbJ…8¬‘#"b 3Ø„¤Í
qµ~#©Á42û,èLE²‰Iv+Áƒ™MšÅÄ
$Bn×ÖXya1£²ŒJçj-Õ7 :AÚ0è@eP@sef}@NÈè?¸¯ãß8µ#Q?ÒY͆ۡ)†ë3F›Œ[ŽF®8©!PóÚª]p [íˆyÊn;ãÕ§rBvÏŸ`‚ȨŠöMë÷S¸50¦è€\¾i'7ÒÚTT•vˆ›™¸ë‹ƒÞS>ðºjû&]WÆ–˜ÚÔG•5ÚÑÎ¥Vñ`;´0æ6\wuo«íîÕµ¬t–‚Âþ‘)ü¨Òíi¼_¡•o_iùab›,âezkM#Þæ]–h6Š¨+S$"4”4^ÞóD*í£0Ìmk¼@G•¨pG‡Ï{∉ŒB™ƒ)1Y¸E1<1¼
S’5éà‚z[A¬TD‰·Ý¾é m2ËTÍÌšÛrvF€Â«j¤ô?ÿþ¢Zh4œ6<劕n´öñ>ï9Ì}
我知道那一堆数据代表一个压缩文件。有没有办法让我解码这些并读取里面的文件?鉴于之前的输入,是否有工具可以做到这一点?
我真的很陌生并且有基本的知识:)
提前感谢您,
【问题讨论】:
-
呃,记事本不是世界上最好的二进制编辑器,试试hexed.it
-
是的,请不要在问题中放入乱码二进制文件。这是无用的,因为在尝试“打印”二进制文件时已经发生了损失。原件不可恢复。请改用十六进制或 Base64。
标签: compression computer-forensics