comparer des images de disque ntfs

J'ai deux copies d'une partition NTFS sur un serveur Linux (anciennes sauvegardes). Si je les monte comme périphérique de boucle et compare le contenu fichier par fichier, il n'y a pas de différence entre eux. Mais comparer ces images avec cmp ou vbindiff présente de nombreuses différences. Comment puis-je savoir ce que c'est? Peut-être le fs original était-il utilisé dans Windows (uniquement pour la lecture) entre les deux copies, mais je ne m'en souviens pas et le paramètre "find. -Ls" donne le même résultat sur les images montées; les dates / heures du fichier sont donc correctes. inchangé. J'aimerais supprimer l'une d'entre elles, mais j'aimerais savoir si elles contiennent les mêmes données et les différences sont inutiles.

linux ntfs Zoltán Há
la source

J'ai trouvé un outil: ntfscmp. Cela ressemble à ce que je cherche. (mais je ne suis pas sûr)

Zoltán Há

Réponses:

Vous ne devriez pas comparer directement deux images si l’autre n’a pas été créée comme une image directe de l’autre.

Si vous copiez des fichiers d'une image en lecture seule vers une nouvelle image, les images seront différentes au niveau octet, car les métadonnées sur les systèmes de fichiers sont générées dans un ordre différent.

Cela se produit car les fichiers sont créés dans un ordre différent. il peut y avoir des fichiers supprimés sur le volume. Lorsque des fichiers sont supprimés, seules les métadonnées du système de fichiers sont mises à jour, de sorte que les blocs des fichiers sont marqués comme étant libres, mais ils contiendront toujours les données des fichiers.

La seule comparaison valable consiste à comparer le contenu du système de fichiers via une comparaison au niveau des fichiers. Un bon outil à cet effet est rsyncl' --dry-runoption, qui indique uniquement ce qui rsyncserait fait si des différences étaient trouvées.

Un autre outil utile pour trouver des différences est diff.

Tero Kilkanen
la source

Les deux copies sont des sauvegardes d'image (dd if = / dev / sdxx de = / Backup / sdxx.img ...). Après avoir effectué la première sauvegarde, mais avant de détruire l'ancien disque, j'ai vérifié si elles étaient identiques. J'ai trouvé, l'image diffère de la partition d'origine, j'ai donc créé une nouvelle copie avec le même dd. C'était il y a environ un an, je n'ai plus de souvenirs de ce qui s'est passé ensuite.

Zoltán Há

Veuillez préciser dans votre question le processus exact de la création des images et du moment de leur création.

Tero Kilkanen

OK C'était la partition de données sur un ordinateur portable. J'ai démarré un Linux en direct et sauvegardé cette partition sur un disque dur externe: dd if = / dev / sdxx de = / Backup / sdxx.img Plusieurs heures ou un jour plus tard, j'ai vérifié si la sauvegarde était identique à la partition d'origine. C'était différent. J'ai créé une nouvelle sauvegarde: dd if = / dev / sdxx de = / Backup / sdxx_v2.img puis effacé le disque dur et utilisé à d'autres fins. Entre les sauvegardes, j'ai peut-être démarré le système Windows d'origine sur l'ordinateur portable, mais je suis sûr que je n'ai pas touché cette partition.

Zoltán Há

Même démarrer Windows causera des différences sur le contenu du système de fichiers. Par exemple, le contenu du fichier d'échange change, les fichiers temporaires sont créés et supprimés, etc. La comparaison au niveau des fichiers est le seul indicateur fiable des modifications possibles.

Tero Kilkanen

C’était une partition de données, elle n’était utilisée que lorsque j’ai démarré manuellement un logiciel. Il n'y avait pas de place de fichiers temporaires ou d'échange ou quelque chose comme ça. Je soupçonnais que lorsque j'ai détruit Windows, le système était infecté par un logiciel malveillant inconnu ...

Zoltán Há

Je pense avoir trouvé une solution possible. Le paquet ntfs-3g contient quelques outils: ntfscmp, ntfsinfo, ntfscat, etc.

Avec ntfscmp, je pouvais comparer les images ntfs et montrer les différents inodes.

Avec ntfsinfo -i nom_image, je pouvais déterminer le type de ces inodes et de nombreuses autres informations à leur sujet. Les inodes au contenu différent sont nommés "$ LogFile" - il s'agit du journal AFAIK du ntfs.

La solution: il n’ya pas de réelle différence entre les images, peut-être que je les ai montées en tant que r / w et ... et je ne sais pas ce qui leur est arrivé, mais le contenu est le même pour les deux images.

Zoltán Há
la source