-d: Find deleted entries ONLY

        -u: Find undeleted entries ONLY

Пробуем.

# ./find_file -a /dev/hda9 107

* /sort

Хотя программы по-прежнему нет в списке.

# ls -al /data1/sort

/bin/ls: /data1/sort: No such file or directory

И последняя утилита blockcalc из комплекта TCTUtils предназначена для отображения соответствия между номером блока в образах, созданных при помощи dd и unrm.

./blockcalc [-du] block dd_image

Slowly calculates the opposite block number

        One of the following must be given:

        -d: The given block number is the 'dd' block num

        -u: The given block number is the 'unrm' block num

# ./blockcalc -u 9364 /image/system.img

19496

Не знаю, что послужило причиной, но TCT и TCTUtils не развиваются уже с 2001 года (но это не значит, что их нельзя использовать и я зря о них рассказывал). Вместо них Brian Carrier выпускает единый комплект утилит, названный Sleuth Kit (http://www.sleuthkit.org/sleuthkit), основанный на их коде, объединяющий основные функциональные возможности и работающий с файловыми системами NTFS, FAT, FFS, EXT2FS и EXT3FS. Последняя на момент написания статьи версия 1.67 от 6 января 2004 года. Для удобства, чтобы легче было ориентироваться, названия утилит изменены и начинаются на букву, соответствующую тому уровню, на котором они работают. Их несколько: File System Layer – работа с файловой системой; Content Layer (буква d – data) – фактическое содержание блоков, кластеров, фрагментов; Meta Data Layer (inode) – описывает файл или каталог, т.е. все, что можно извлечь из inode; Human Interface Layer (file) – более удобный уровень взаимодействия с файлами, чем при использовании метаданных. Во многих утилитах были добавлены новые опции, например, -m, позволяющая выводить одновременно информацию и о MAC-временах; -z – для указания временного пояса; обязательной стала опция -f, предназначенная для указания файловой системы. После компиляции в подкаталоге bin вы найдете 18 утилит.

/home/work/forensic/sleuthkit-1.67/bin # ./

dcalc    dls      ffind    fls      hfind    ifind    istat    md5      sha1

dcat     dstat    file     fsstat   icat     ils      mactime  mmls     sorter

С назначением утилит file, icat, ils, mactime, istat, fls мы уже знакомы. Утилита ifind является новой версией find_inode, ffind пришел на замену find_file, dcalc – blockcalc, соответственно, dcat – bcat, dls назывался когда-то unrm, утилиты md5 и sha1 предназначены для работы с контрольными суммами в одноименных алгоритмах. Остались незнакомыми только hfind, dstat, fsstat, mmls и sorter.

Появившаяся в Sleuth Kit v1.63 утилита mmls предназначена для вывода таблицы разделов. Ее применение может помочь в поиске «спрятанных» данных, т.к. показывает, какие сектора не используются.

# ./mmls -?

./mmls [-o offset] [-v] -t mmtype disk