Wie erkunde ich ein ddrescue-Image manuell / interaktiv?

Ich habe ein ddrescue-Image, das Daten von einer Btrfs-Partition enthält, deren erste GBs überschrieben wurden. Daher kann das Dateisystem nicht gemountet werden, sodass auf die Dateien nicht über ein Dateisystem als solches zugegriffen werden kann - nur als Rohdaten. Ich habe bereits versucht, mit TestDisk / PhotoRec Daten aus diesem dd-Image herauszuschneiden, und ich konnte viele Dateien wiederherstellen. Jetzt muss ich jedoch in der Lage sein, dieses dd-Image gründlicher und interaktiver zu untersuchen (im Gegensatz zur Verwendung einer automatisierten Dateiwiederherstellungssoftware). Wie kann ich es tun?

Hier ist eine grobe Idee, um Ihnen den Einstieg zu erleichtern:

• Erstellen Sie ein (leeres) Dateisystem, das dem überfüllten Dateisystem so ähnlich wie möglich ist. Ich denke, es ist ziemlich wichtig, es auf die gleiche Größe zu bringen. Versuchen Sie, so viele andere Parameter zu replizieren, wie Sie sich merken, wiederherstellen oder rekonstruieren können.
• Schätzen Sie, wie viel von Ihrem Dateisystem überschrieben wurde. Nehmen wir an, es waren 3 GB.
• Erstellen Sie eine Kopie Ihres Images und überschreiben Sie die ersten 3 GB mit den ersten 3 GB des leeren Dateisystems.
• Sehen Sie, welche Fortschritte Sie mit diesem Hybrid-Image erzielen können.

Zuerst wollte ich vorschlagen, dass Sie debugfs verwenden , aber dann erinnerte ich mich, dass es nur ext2 / ext3 / ext4-Dateisysteme unterstützt. Prüfen Sie jedoch, ob Sie Tools finden, die Ihren Dateisystemtyp verarbeiten. Versuchen Sie, nach "Computer Forensic Tools" zu suchen.