| English / Deutsch | Druckversion |  |
<< Zurück |
Inhaltsverzeichnis | Weiter >> |
Bytes einer Datei und/oder Unicode String finden
Mit hfsprescue können Bytes einer Datei und Unicode Strings gesucht werden. Unter anderem kann mit dieser Funktion der Partitionsstart ermittelt werden. Die Parameter -ff and -fi können gleichzeitig in einem Befehl verwendet werden.
hfsprescue --find <device node|image file> [-ff <num bytes> <file1> [file2] [...]] [-fs <string>] [-o <offset in bytes>]
• Finde Bytes einer oder mehreren Dateien -ff
Das Auffinden der Bytes einer Datei (Inhalt) kann unter anderem verwendet werden wenn man den Startoffset einer Partition ermitteln muß. Es macht wenig Sinn nach der kompletten Datei zu suchen, weil die Datei fragmentiert sein kann und deshalb nichts gefunden wird. Die Dateigröße ist nicht limitiert, allerdings wird maximal nach einem 1MB großen Block gesucht. 1MB ist in diesem Fall sehr groß. Ich empfehle 1 Blocksize als Suchblockgröße.
Das Ergebnis der Suche wird in der Datei 'hfsprescue-data/find.log' abgespeichert.
Wenn Sie '-o <offset in bytes>' verwenden, dann beginnt die Suche beim Offset und ignoriert den Speicherplatz davor.
Suche nach Bytes Beispiel 1:
Befehl: hfsprescue --find /dev/sdb2 -ff 4096 PerfectPicture.jpg
Beispielausgabe:
File PerfectPicture.jpg: Bytes found at offset 746586112 + 28672 = 746614784 (0x2c800000 + 0x7000 = 0x2c807000)
Suche nach Bytes Beispiel 2: Mehrere Dateien
Befehl: hfsprescue --find /dev/sdb2 -ff 4096 PerfectPicture.jpg anyfile.doc
Beispielausgabe:
File anyfile.doc: Bytes found at offset 0 + 401408 = 401408 (0x0 + 0x62000 = 0x62000) File PerfectPicture.jpg: Bytes found at offset 746586112 + 28672 = 746614784 (0x2c800000 + 0x7000 = 0x2c807000)
• Suche String -fs
Dieser Parameter wird verwendet um Unicode Strings zu finden. Dateinamen sind als Unicode abgespeichert und können mit -fs gefunden werden. Man kann damit die Position von Verzeichniseinträgen finden. Der Parameter wird von hfsprescue automatisch in Unicode umgewandelt.
Das Ergebnis der Suche wird in der Datei 'hfsprescue-data/find.log' abgespeichert.
Wenn Sie '-o <offset in bytes>' verwenden, dann beginnt die Suche beim Offset und ignoriert den Speicherplatz davor.
Suche nach String Beispiel:
Befehl: hfsprescue --find /dev/sdb2 -fs myimportantfile.doc
Beispielausgabe:
String "myimportantfile.doc" found at offset 1048576 + 326870 = 1375446 (0x100000 + 0x4fcd6 = 0x14fcd6) String "myimportantfile.doc" found at offset 1048576 + 494446 = 1543022 (0x100000 + 0x78b6e = 0x178b6e)
<< Zurück |
Inhaltsverzeichnis | Weiter >> |
© 2024 by
Elmar Hanlhofer