Extrahieren von JPEG-Dateien von einer disk dump

Ich habe eine 16GB Speicher-Karte von jemand, der nicht ordnungsgemäß geladen (fragt formatiert werden). Ich möchte mal jpegs aus.

Ich habe dd dump den Inhalt in eine Datei, die funktionierte prächtig. Die Datei lässt sich nicht mounten und Lesen, so dass der Inhalt beschädigt sein in irgendwie.

Öffnen der dump im hex-editor zeigt, dass es Daten gibt, und indem man die Markierungen für den Beginn und das Ende einer jpeg-Datei (FFD8 und FFD9), ich habe in der Lage, manuell extrahieren Sie die ersten 3 jpegs.

Bevor ich gehen und schreiben einige code-stream der Datei, suchen Sie die offsets und der dump-Dateien, ist es bereits Weg, dies zu tun? Ich kann nichts finden, mit einer einfachen google-Suche, aber nicht wollen, um ein problem zu lösen, die gelöst worden, viele Male zuvor.

Kennt jemand entweder ist eine software oder eine anständige Bibliothek (Python wäre nett, wie ich bin vertraut mit der Sprache, obwohl Sie alles tun würde), einfach lassen Sie mich extrahieren Sie die jpegs, oder bin ich besser dran, nur das schreiben des Codes selbst?

InformationsquelleAutor Rich Bradshaw | 2012-02-25

  1. 6

    Wollen Sie ein computer-Forensik carving-tool.

    Gibt es zwei naheliegende Möglichkeiten für dieses problem. Die erste ist die open-source -photorec. Die zweite ist die kommerzielle tool Geschickter Foto-Forensik. Ich habe beide tools auf viele Gelegenheiten. Schlagfertigkeit wird wiederherstellen von Dateien, die fragmentiert sind, und macht einen besseren job, falsch positive Ergebnisse eliminiert, aber es ist teuer. In aller Wahrscheinlichkeit wirst du in Ordnung sein mit photorec.

    Photorec ist brilliant - jpeg extractor war nicht so toll, und meine eigenen code zu naiv war und schrecklich - das ist geil! Hoffe, dass sich alle Fotos wieder, sieht gut aus so weit!
    Übrigens, für die Zukunft Menschen finden diese, mit photorec auf die Karte rechnen, die es dauern würde, 2 Stunden, läuft es gegen eine Kopie mit dd ist nur 20 Minuten.
    Froh, dass es geklappt für Sie!
    Wenn jemand dies Lesen wird und PhotoRec gibt Ihnen Probleme, auch versuchen, Skalpell oder Linie. Beide können installiert via apt-get bei Ubuntu.
    Nicht verwenden vor Allem. Es ist nicht gepflegt. Skalpell ist ein false-positive-generator. Wir überprüft die verschiedenen Programme und festgestellt, dass PhotoRec hat alles, was die anderen haben und hatten weniger falsch positive Ergebnisse.

    InformationsquelleAutor vy32

  2. 2

    Hier ist ein Programm, das ich schrieb, dies zu tun mit python, es liest eine Datei, die die Bilddaten enthält, und trennt Sie in einzelne Dateien. 

    import hashlib

inputfile = 'data.txt'
marker = chr(0xFF)+chr(0xD8)

# Input data
imagedump = file(inputfile, "rb").read()

imagedump = imagedump.split(marker)

count=0
for photo in imagedump:
    name = hashlib.sha256(photo).hexdigest()[0:16]+".jpg"
    file(name, "wb").write(marker+photo)
    count=count+1
    print count

    Den script-Namen der gefundenen Bilder mit den sha256-digest und all die Fotos, die er findet, ausgegeben werden in das aktuelle Verzeichnis.

    Hier ist ein Weg, können Sie testen Sie das Skript, um zu sehen, ob es ordnungsgemäß funktioniert: Typ cd ~/images/ dann machen die Ordner mkdir test dann dump ein paar jpegs in einer einzigen Datei im Verzeichnis cat *.jpg > ./test/data.txt dann cd test und legen Sie das Skript in das aktuelle Verzeichnis, führen Sie dann das Skript python extract.py und die jpegs werden sprang in den aktuellen Ordner.

    Funktioniert und Ausgänge alle Bilder, die ich erwartet hatte, aber scheinen auch einige zusätzliche Dateien, die eigentlich nicht auf JPEG-Bilder.

    InformationsquelleAutor kyle k

  3. 0

    Gut, nach viel suchen, fand ich dies:

    http://www.digiater.nl/openvms/decus/vmslt02a/net/jpeg-extractor.html

    Es findet viel Müll auf einer 16GB-Karte, ich denke, die Wahrscheinlichkeit, FFD8 und FFD9 auftauchen ist hoch, wenn Sie haben, dass viele bytes. So weit hat es gefunden 50.000 Bildern, sondern von denen viele sind nur zufällig jpegs, und nicht Bilder.

    Hoffe, dies hilft jemand anderes, der hat eine Programmierung gebogen, und versucht, code alles, auch wenn Sie nicht benötigt wird!

    InformationsquelleAutor Rich Bradshaw

  4. 0

    in windows gibt es ein Programm, FTK

    http://accessdata.com/products/computer-forensics/ftk

    außerdem ist es interessant, ein forensisch-editor wie winhex
    http://www.x-ways.net/winhex/index-e.html

    Unter linux plataform, es gibt einige Forensik-distribution mit einem vollständigen Satz von forensischen
    tools
    helix (zu suchen haben, die alte freie version)
    caine
    sleuth kit

    müssen Sie die image-Datei, gibt es browser-Funktionen je nach Datei-Typ

    Grüße alvaro

    InformationsquelleAutor user1244520

  5. 0

    Können Sie ganz einfach wiederherstellen alle Ihre in-zugänglich jpeg-Bilder mit effektiven Photo Recovery Software. Diese software ist gut Behelmte mit fortgeschrittenen und anspruchsvolle Techniken mit Hilfe von denen es wieder alle Daten in Ihrem ursprünglichen format.

    Lesen Sie mehr unter: http://www.jpeg-recovery.org/undelete-lost-pct-images-after-cf-showing-memory-card-parameter-error-message

    InformationsquelleAutor anniewilliam

Schreibe einen Kommentar