我有 FAT 格式的 USB 驱动器,可能存在文件系统级问题。当我将驱动器插入 Windows 系统时,它似乎改变了驱动器上的某些内容以消除问题。这使得无法分析问题。
如何在操作系统不静默更改内容的情况下调查 USB 驱动器?我希望能够访问磁盘文件和读/写磁盘映像。
问题发生在 Windows 10 上,但也许任何 Windows 解决方案都无法正常工作?
AskOverflow.Dev
我有 FAT 格式的 USB 驱动器,可能存在文件系统级问题。当我将驱动器插入 Windows 系统时,它似乎改变了驱动器上的某些内容以消除问题。这使得无法分析问题。
如何在操作系统不静默更改内容的情况下调查 USB 驱动器?我希望能够访问磁盘文件和读/写磁盘映像。
问题发生在 Windows 10 上,但也许任何 Windows 解决方案都无法正常工作?
不知何故,我怀疑 Windows 是否对允许临时挂载的文件系统进行了一些修复,并且直到下次启动时它才会忘记。我断言,如果 Windows 进行了一些文件系统修复,它将永久写入驱动器。
无论如何,回答这个问题:
这是使用 ddrescue 的众多指南之一:https://www.data-medics.com/forum/threads/how-to-clone-a-hard-drive-with-bad-sectors-using-ddrescue.133 /
这是一个免费工具,可用于在 Windows 中挂载 dd 类型的磁盘映像:https://www.osforensics.com/tools/mount-disk-images.html
该工具的免费版本包含一个功能齐全的磁盘编辑器,其中包含许多磁盘和文件系统结构模板:https://dmde.com/
HxD 只是一个很棒的免费文件和磁盘编辑器:https ://mh-nexus.de/en/hxd/ 。您可以使用它对包含修改的磁盘映像和不包含修改的磁盘映像进行逐字节比较。
硬件和软件写入阻止程序: https: //forensics.wiki/write_blockers/
编辑:我将再添加一个应该/可能会阻止 Windows 执行修复的 Windows 建议:告诉它不要安装外部驱动器。
发出命令后,重新启动。
此方法(或 DiskPart 等效过程)的问题在于它有时似乎没有效果。
Windows 会自动执行一项更正,即
chkdsk未正确卸载的磁盘。即使
chkdsk由于某种原因或由于手动干预而没有运行,当计算机稍后正确卸载磁盘时,问题也会得到纠正。我认为磁盘在上次使用时没有正确卸载。由于某种原因,嵌入式系统并非无法纠正错误,或者它可能显示一条从未处理过的错误消息,这就是问题所在。
当磁盘后来安装到 PC 上时,它被正确卸载,从而清除了条件并解决了嵌入式系统的问题。
如果这是问题所在,正确卸载和弹出注定要在此嵌入式系统上使用的磁盘很重要。