如何在低級別掃描硬碟以恢復部分覆蓋分區中的文件？

我們在家裡發生了人為事故，外接硬碟誤複製了一張 SD 32gb 圖像卡。應該對 SD 圖像進行複制。

我猜 32gb 的外部驅動器被覆蓋了，但據我對數字取證的了解，大部分資訊應該在那裡。

你能推薦我一個好的低級掃描器來分析整個硬碟中的資訊以恢復圖片和word文件（主要）？

我以前知道testdisk，它對它有效嗎？

我希望你能幫我們解決這個問題。

最親切的問候

根據我的個人經驗，大多數文件雕刻師喜歡根據他們檢測到的文件系統做出假設。您可以創建一個具有 32GB 偏移量的循環設備，以確保您的掃描器/文件雕刻器不會被您不感興趣的看似有效的數據所干擾（即跳過您知道已被覆蓋的區域）。請注意，偏移量應為 512 字節或 4K 對齊。如果您知道被覆蓋的字節的確切大小，請改用它。

losetup --find --show --read-only --offset $((32*1000*1000*1000)) /dev/sdx

然後，您可以在該循環設備上使用您喜歡的任何程序。photorec 是其中之一，還有其他一些，例如最重要的，手術刀，… 把自己弄暈了。

如果您有超過 32GB 標記的分區/邏輯卷，您也可以嘗試 testdisk。如果您有一個帶有冗餘元數據的文件系統，您也可以嘗試修復它，但您需要知道原始分區偏移量（例如 1 MiB）以及一些定位元數據備份的方法。

最好使用覆蓋https://raid.wiki.kernel.org/index.php/Recovering_a_failed_software_RAID#Making_the_harddisks_read-only_using_an_overlay_file

覆蓋允許您執行fsck或其他一些在虛擬/dev/mapper/sdxoverlay設備上寫入的程序，而無需在真實磁碟上實際執行這些寫入。

引用自：https://unix.stackexchange.com/questions/352438