26、磁盘分区及数据提取全解析

磁盘分区及数据提取全解析

1. 磁盘分区基础

磁盘分区是对磁盘进行逻辑划分的过程，不同的分区可以使用不同的文件系统，以满足不同的存储需求。有些存储介质可能不需要分区表或文件系统，二进制数据可以直接写入原始磁盘，供能理解其格式的程序访问。例如，一些数据库可以直接使用原始磁盘。

在某些情况下，磁盘可能没有分区方案，文件系统从扇区零开始一直到磁盘末尾，整个磁盘就是一个分区。这种情况在一些较旧的 USB 闪存盘和软盘上很常见。此时，分区分析工具可能无效，通常会报告错误或不存在的分区表。

如果工具无法检测到分区类型，值得检查文件系统是否直接写入了原始设备。示例如下：

# mmls /dev/sdj
Cannot determine partition type
# disktype /dev/sdj
--- /dev/sdj
Block device, size 1.406 MiB (1474560 bytes)
FAT12 file system (hints score 5 of 5)
Volume size 1.390 MiB (1457664 bytes, 2847 clusters of 512 bytes)
# mmstat /dev/sdj
Cannot determine partition type
# fsstat /dev/sdj
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: FAT12

部分加密卷会试图隐藏自身存在或所使用文件