磁盘镜像取证杂记

Sun Jun 08 2025 23:19:43 GMT+0800

镜像的修复

$ file userdata.img
userdata.img: Linux rev 1.0 ext4 filesystem data, UUID=dc1c8149-bb9e-4b37-adb2-f542b43cbebb (needs journal recovery) (extents) (64bit) (large files) (huge files)

注意上面的结果中存在：(needs journal recovery)，如果丢X-way Forensice的话不能被正常解析

$ e2fsck -fy userdata.img
userdata.img: Linux rev 1.0 ext4 filesystem data, UUID=dc1c8149-bb9e-4b37-adb2-f542b43cbebb (extents) (64bit) (large files) (huge files)

再用X-way Forensice即可正常浏览文件目录和文件内容