Cómo buscar un archivo que se ha dividido en segmentos en una instantánea de memoria

Navega tus respuestas
1

Tengo una instantánea de la memoria de un dispositivo cargado en FTK Imager.

También tengo un archivo, específicamente una imagen (JPG) como archivo en mi computadora. Sé que este archivo está presente en la instantánea de la memoria, pero está dividido en varios fragmentos diferentes (unos 80 de ellos).

Cada segmento tiene exactamente 4096 bytes de longitud (excepto el último, probablemente).

Puedo buscarlos manualmente copiando el fragmento 4096 completo en hexadecimal con FTKi, luego buscándolo en la instantánea y exportando el fragmento.

El problema es que esto lleva mucho tiempo. ¿Hay alguna manera de hacer esto más rápido, ya sea utilizando FTK u otro software que permita leer y grabar a partir de instantáneas ad1?

Además, ¿cómo podría "fusionar" los segmentos exportados al final, para mostrar que la imagen aún está completa?

    
pregunta Kaito Kid 06.07.2017 - 03:24
fuente

1 respuesta

1

No sé si hay alguna forma de saber dónde se almacenan los fragmentos en la memoria (o en la instantánea de la memoria) como podría haber en un sistema de archivos. Así que buscar en cada uno puede ser el único camino. En cuanto a la automatización de ese proceso, no conozco nada disponible.

Puede utilizar el software de edición hexadecimal para realizar la búsqueda, copiar bloques de datos en archivos separados y luego juntarlos en un solo archivo. Será un montón de trabajo manual, pero no abrumador por solo 80 bloques. Hemos escrito software que funcionarán de manera similar (y en realidad ese paso intermedio no es necesario cuando se usan las compensaciones), pero desafortunadamente no está disponible públicamente. Sin embargo, lo menciono porque es posible que desee considerar una solución de software personalizada si lo hace muchas veces. Pero si solo lo haces una vez, manualmente estaría bien.

Puse a continuación un par de enlaces de editor hexadecimal. Creo que FTK Imager es un software de Windows, por lo que aquí hay algunas opciones de Windows-

  • Hex Workshop enlace (esto se menciona en la guía del usuario de FTK Imager)
  • WinHex enlace
respondido por el Datarecovery.com MK 07.07.2017 - 16:28
fuente

Lea otras preguntas en las etiquetas

Bitlocker FIPS140 de Windows 10 sin usar la política de criptografía del sistema Bufferoverflow - jmp esp. ¿Necesito nops trineo? ¿La llamada esp también funciona?