Kann es sein, dass der im Abschnitt "tsk_recover" angegebene Befehl
| tsk_recover -a dd_image_datei.img AUSGABEORDNER
|
so nicht ganz richtig sein kann?
Unterstützt werden nur spezielle (?) Formate zur Daten-Forensik:
| tsk_recover -i list
Supported image format types:
raw (Single or split raw file (dd))
aff (Advanced Forensic Format)
afd (AFF Multiple File)
afm (AFF with external metadata)
afflib (All AFFLIB image formats (including beta ones))
ewf (Expert Witness Format (EnCase))
|
Aufgefallen ist mir das bei einem Image, welches ich mit safecopy bzw. gddrescue von einem kaputten usb-stick erstellt habe - die Bearbeitung mit tsk_recover scheiterte, da das Dateisystem "nicht erkannt werden konnte".
In dem Zusammenhang fiel mir dieser Beitrag über safecopy auf, der suggeriert, dass die Frage nach dem Dateiformat des zu erstellenden Image von Bedeutung bzw. nicht so ganz trivial ist.
Es gibt inzwischen für Sleuthkit ein Gui namens Autopsy - vielleicht sollte das auch im Artikel erwähnt werden? Die Installation ist u.U. etwas anspruchsvoller.
Sollten diese 3 Dinge im Artikel vielleicht ergänzt werden?