Comment puis-je monter l'image DD d'une partition?

J'ai créé une image jj d'une partition (contenant un HFS + FS) d'un de mes disques (et non du disque entier) il y a quelques jours en utilisant la commande suivante -

dd conv=sync,noerror bs=8k if=/dev/sdc2 of=/path/to/img

Comment puis-je le monter? J'ai essayé ce qui suit mais cela ne fonctionne pas -

mount -o loop,ro -t hfsplus /path/to/img /path/to/mntDir

Ça me donne

mount: wrong fs type, bad option, bad superblock on /dev/loop1,
       missing codepage or helper program, or other error
       In some cases useful info is found in syslog - try
       dmesg | tail or so

et dmesg | tailme donne -

[5248455.568479] hfs: invalid secondary volume header
[5248455.568494] hfs: unable to find HFS+ superblock
[5248462.674836] hfs: invalid secondary volume header
[5248462.674843] hfs: unable to find HFS+ superblock
[5248550.672105] hfs: invalid secondary volume header
[5248550.672115] hfs: unable to find HFS+ superblock
[5248993.612026] hfs: unable to find HFS+ superblock
[5248998.103385] hfs: unable to find HFS+ superblock
[5249031.441359] hfs: unable to find HFS+ superblock
[5249036.274864] hfs: unable to find HFS+ superblock

Y a-t-il quelque chose que je fais mal?

J'ai essayé de chercher comment faire, mais tous les résultats que j'obtiens ne parlent que de monter une partition à partir d'une image disque complète, en utilisant l'option offset avec mount - aucun ne parle du cas où l'image elle-même est celle d'une partition.

Merci.

PS: j'utilise Arch Linux 64 bits, et la partition du disque d'origine se /dev/sdc2monte très bien.

linux mount dd disk-image

— 0cd
source

Votre disque dur d'origine est-il toujours disponible? Avez-vous déjà lu cet article? viaforensics.com/computer-forensics/…

— JohannesM

Je viens de faire. Cela utilise à nouveau une image de disque complet et une valeur de décalage transmise à la commande de montage pour choisir une partition à l'intérieur. Dans mon cas, l'image est une seule partition.

— 0cd

Je remarque que vous utilisez noerrordans votre ligne DD. Combien de secteurs illisibles le disque source avait-il peut avoir touché quelque chose de critique. Surtout avec la taille de bloc 8k (le disque est probablement 512b ou tout au plus 4k). Le disque source est-il monté?

— derobert

intéressant. Je ne sais pas si le disque source a des secteurs illisibles. Il se monte sans problème et je peux accéder aux fichiers qu'il contient.

— 0cd

Réponses:

Vous devrez peut-être d'abord utiliser losetup pour créer un périphérique à partir de votre fichier, puis monter ce périphérique. Voici ce que je fais pour monter un fichier de sauvegarde avec une image de partition à l'intérieur:

losetup /dev/loop1 /home/backup-file
mount /dev/loop1 /mnt/backup

Ma partition apparaît alors sous / mnt / backup, et le fichier d'origine est / home / backup-file. Peut-être que vous pouvez tout faire avec "mount -o loop" mais je n'ai pas réussi avec ça, donc j'utilise losetup séparément.

Après avoir terminé, je démonte la partition, puis je supprime la boucle avec "losetup -d / dev / loop1", juste au cas où.

En outre, vous pouvez utiliser losetup pour découvrir quel périphérique de boucle est actuellement libre dans votre système, avec losetup -f

Laissez-moi savoir si cela fonctionne.

— Piotr Kempa
source

mount -o loopalloue automatiquement en interne un périphérique de bouclage, donc l'attribution manuelle de l'image à un périphérique de bouclage est un travail supplémentaire et inutile.

— Dario Russo

Merci pour l'information. mais spyroboy a raison - mount alloue en interne un périphérique de bouclage.

— 0cd

Oui, je le soupçonnais, même si j'avais un problème similaire au vôtre et je l'ai résolu en le faisant à la main, c'est-à-dire en affectant le périphérique de boucle à losetup. Dans tous les cas, cela vous aidera peut-être à identifier le problème.

— Piotr Kempa

courir mount -o loopdevrait accomplir ce que vous voulez, mais ce n'est clairement pas le cas.

cela m'amène à croire que le pilote du système de fichiers que vous essayez d'utiliser ne fonctionne pas correctement.

cela pourrait être un tronçon et je ne sais pas comment fonctionne HFS + .. mais est-il possible que HFS + stocke des partitions dans des partitions? peut-être similaire à LVM?

une autre chose qui me vient à l'esprit est le cryptage. il semble que les partitions HFS + puissent être chiffrées. est-ce que cela vous rappelle quelque chose?

— Dario Russo
source

Je ne suis pas sûr des internes de HFS +, mais la partition n'est certainement pas chiffrée. En fait, j'ai toujours le disque d'origine et la partition qui monte correctement.

— 0cd