drive-image-searcher

一个Rust命令行工具，用于流式传输驱动器镜像并搜索一个或多个字节模式

cargo install drive-image-searcher
drive-image-searcher -h

特性

• 支持自定义“针”定义配置文件。
• 支持从压缩磁盘镜像（lz4和xz压缩）中读取。
• 将找到针的数据块写入。
• 快速。

用法

1. 下载 needle_config.sample.yaml 文件，并填充您想要定位的搜索模式。例如

- name: "Example Needle 1"
  val: "48 65 6c 6c 6f ff ff ff ff ff ff ff"  # This is "Hello" in hexadecimal
  val_format: hex
  description_notes: "A simple hex value of the word 'Hello'"
  happiness_level: 1

- name: "Example Needle 2"
  val: "word plus a bunch of other random text"
  val_format: ascii
  description_notes: "A plain ASCII value"
  happiness_level: 2
  write_to_file: false

2. 运行 cargo install drive-image-searcher。
3. 运行 drive-image-searcher -c none -i /path/to/dd_file.img -n /path/to/needle_config.yaml -o ./output_dir/

完成后，匹配的实例将在 ./output_dir/ 中，旁边是日志。

错误

• 块设备的总文件大小显示为0，因此预计时间无效。
• 由于前向进位没有将草稿移动，因此偏移量不正确