Sleuth Kit Tool 詳細介紹

tsk_comparedir

名稱

tsk_comparedir-將目錄的內容與映像或本地設備的內容進行比較。

概要

tsk_comparedir [-vV] [-n start_inum ] [ -f fstype ] [ -i imgtype ] [ -b dev_sector_size ] [ -o sector_offset ] image [images] comparison_directory

描述

tsk_comparedir將映像的內容與comparison_directory的內容進行比較。這對于檢測rootkit和進行測試很有用。可以通過比較本地目錄和本地原始設備的內容來檢測Rootkit。直接從原始設備讀取數據時，rootkit通常不會隱藏數據。

參數如下：

-o扇區偏移量

要比較的映像或設備中分區的扇區偏移量。

-n start_inum

圖像中目錄的起始inum，以開始進行比較。

-v

輸出到stderr的詳細信息

-V

印刷版

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-i imgtype

圖像文件的格式，例如raw。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-b dev_sector_size

設備扇區的大小（以字節為單位）。如果未給出，則使用自動檢測方法。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

例子

要將image.dd中的目錄與目錄中的目錄進行比較：

＃tsk_comparedir ./image.dd ./directory

tsk_gettimes

概要

tsk_gettimes [-vV] [-f *fstype *] [-i *imgtype *] [-b *dev_sector_size *] [-z *zone *] [-s *seconds *] *image* [images]

描述

tsk_gettimes檢查磁盤映像中的每個文件系統，并以MACtime主體格式返回有關它們的數據（與在每個文件系統上運行’fls -m’相同）。可以將其輸出用作mactime的輸入，以建立文件活動的時間表。數據被打印到STDOUT，然后可以將其重定向到文件。

參數如下：

-v

輸出到stderr的詳細信息

-V

印刷版

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-i imgtype

圖像文件的格式，例如raw。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-b dev_sector_size

設備扇區的大小（以字節為單位）。如果未給出，則使用自動檢測方法。

-o扇區偏移量

要恢復的卷的扇區偏移（僅恢復該卷）如果未指定，將嘗試恢復映像中的所有卷并將它們保存到其他文件夾。

-s秒

原始系統的時間偏差（以秒為單位）。例如，如果原始系統的速度慢了100秒，則該值為-100。

-z區

原始系統所在時區的ASCII字符串。例如，EST或GMT。這些字符串必須由您的操作系統定義，并且可能會有所不同。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

例子

收集有關圖像image.dd的數據：

＃tsk_gettimes ./image.dd> body.txt

tsk_loaddb

概要

tsk_loaddb [-ahkvV] [-i *imgtype *] [-b *dev_sector_size *] [-i *imgtype *] [-d *數據庫* ] *image* [images]

描述

tsk_loaddb將磁盤信息從映像加載到SQLite數據庫。然后，其他語言的工具可以使用此數據庫進行分析。默認情況下，數據庫存儲在與映像相同的目錄中，該映像名稱后附加“ .db”，或者數據庫名稱可以用“ -d”指定。

參數如下：

-一個

將圖像添加到現有數據庫，而不是創建一個新數據庫。要求還指定-d。

-d數據庫

數據庫的路徑（默認為與圖像相同的目錄，其名稱源自圖像名稱

-v

輸出到stderr的詳細信息

-V

印刷版

-k

不要創建塊數據表。該表將每個塊映射到為其分配文件。此選項將使該程序運行更快。

-H

計算每個文件的MD5哈希值并將其存儲在表中。此選項將使程序運行緩慢。

-i imgtype

圖像文件的格式，例如raw。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-b dev_sector_size

設備扇區的大小（以字節為單位）。如果未給出，則使用自動檢測方法。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

例子

要將圖像數據從image.dd加載到image.dd.db：

＃tsk_loaddb ./image.dd

tsk_recover

概要

tsk_recover [-vVae] [-f *fstype *] [-i *imgtype *] [-b *dev_sector_size *] [ *-oector_offset *] [-d *dir_inum *] *image* [images] output_dir

描述

tsk_recover將文件從映像恢復到output_dir **。默認情況下，僅恢復未分配的文件。帶有標志，它將導出所有文件。

參數如下：

-v

輸出到stderr的詳細信息

-V

印刷版

-一個

僅恢復分配的文件

-e

恢復所有文件（已分配和未分配）

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-i imgtype

圖像文件的格式，例如raw。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-b dev_sector_size

設備扇區的大小（以字節為單位）。如果未給出，則使用自動檢測方法。

-o扇區偏移量

要恢復的卷的扇區偏移（僅恢復該卷）如果未指定，將嘗試恢復映像中的所有卷并將它們保存到其他文件夾。

-d dir_inum

要從中恢復的目錄inum（還必須使用-o指定特定分區，否則必須沒有卷系統）

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

output_dir

保存恢復文件的目錄。

例子

要將僅未分配的文件從image.dd恢復到恢復的目錄，請執行以下操作：

＃tsk_recover ./image.dd ./recovered

fsstat

概要

fsstat [-f *fstype *] [-i imgtype] [-o imgoffset] [-b dev_sector_size] [-tvV] *圖像* [圖像]

描述

fsstat顯示與文件系統關聯的詳細信息。該命令的輸出是文件系統特定的。至少要給出元數據值（索引節點號）和內容單元（塊或簇）的范圍。還提供了超級塊的詳細信息，例如安裝時間和功能。對于使用組（FFS和EXT2FS）的文件系統，列出了每個組的布局。

對于FAT文件系統，FAT表以壓縮格式顯示。請注意，數據位于扇區而不是群集中。

爭論

-t類型

僅打印文件系統類型。

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-v

將調試語句的詳細輸出輸出到stderr

-V

顯示版本

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

ffind

概要

ffind [-aduvV] [-f fstype] [-i imgtype] [-o imgoffset] [-b dev_sector_size] *image* [images] inode

描述

ffind查找分配給磁盤映像映像上 inode的文件或目錄的名稱。默認情況下，它僅會返回找到的名字。對于某些文件系統，這將找到已刪除的文件名。

爭論

-一個

查找所有出現的inode。

-d

僅查找已刪除的條目。

-f fstype

標識映像的文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-u

僅查找未刪除的條目。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-v

詳細輸出到stderr。

-V

顯示版本。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

索引節點

要查找的inode的整數。

該程序搜索所有目錄條目以查找給定的inode。當已經使用ifind（1）從磁盤單元地址中標識了一個inode時，這很有用。

Fls

概要

fls [-adDFlpruvV] [-m *mnt *] [-z *區域* ] [-f *fstype *] [-s *秒* ] [-i *imgtype *] [-o *imgoffset *] [-b dev_sector_size] *圖像* [圖像] [ *inode *]

描述

fls列出圖像中的文件和目錄名稱，并可以使用給定的inode顯示該目錄的最近刪除文件的文件名。如果未提供inode參數，則使用根目錄的inode值。例如，在NTFS文件系統上為5，而在Ext3文件系統上為2。

參數如下：

-一個

顯示“。” 和“ ..”目錄條目（默認情況下沒有）

-d

僅顯示已刪除的條目

-D

僅顯示目錄條目

-f fstype

文件系統的類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-F

僅顯示文件（所有非目錄）條目。

-l

以長格式顯示文件詳細信息。顯示以下內容：

file_type索引節點file_name mod_time acc_time chg_time cre_time大小uid gid

-m mnt

以時間機器格式顯示文件，以便可以使用mactime（1）創建時間線。
作為mnt給出的字符串將作為安裝點放在文件名之前（例如/ usr）。

-p

顯示每個條目的完整路徑。默認情況下，它以“ +”號表示遞歸運行的目錄深度。

-r

遞歸顯示目錄。這不會跟隨已刪除的目錄，因為它不會。

-s秒

原始系統的時間偏差（以秒為單位）。例如，如果原始系統的速度慢了100秒，則該值為-100。僅在給出-l或-m的情況下使用。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-u

僅顯示未刪除的條目

-v

詳細輸出到stderr。

-V

顯示版本。

-z區

原始系統所在時區的ASCII字符串。例如，EST或GMT。這些字符串必須由您的操作系統定義，并且可能會有所不同。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

確定索引節點后，可以使用 The Coroners Toolkit中的icat（1）恢復文件。從刪除的文件條目中恢復的信息量取決于系統。例如，在Linux上，可以輕松地恢復最近刪除的文件，而在Solaris中，甚至無法確定inode。如果只想查找屬于inode的文件名，則使用ffind（1）更容易。

例子

要獲取圖像中所有文件和目錄的列表，請使用：

＃fls -r圖片2

或僅（如果未指定inode，則使用根目錄inode）：

＃fls -r圖片

要獲取給定目錄中已刪除文件的完整路徑，請執行以下操作：

＃fls -d -p圖片29

要獲取mactime輸出，請執行以下操作：

＃fls -m / usr / local映像2

如果您有磁盤映像，并且文件系統在扇區63中啟動，請使用：

＃fls -o 63 disk-img.dd

如果您有分割的磁盤映像，請使用：

＃fls -i“ split” -o 63 disk-1.dd disk-2.dd disk-3.dd

icat

概要

icat [-hrsvV] [-f *fstype *] [-i *imgtype *] [-o *imgoffset *] [-b dev_sector_size] *image* [images] inode

描述

icat將打開已命名的映像，并將具有指定inode編號的文件復制到標準輸出。

爭論

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-H

跳過稀疏文件中的漏洞，因此絕對地址信息會丟失。復制稀疏文件時，此選項可節省空間。

-r

如果文件已刪除，請使用文件恢復技術。

-s

在輸出中包括松弛空間。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-v

啟用詳細模式，輸出到stderr。

-V

顯示版本

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

索引節點

索引節點號。icat連接所有指定文件的內容。

歷史

最初出現在The Coroners Toolkit（TCT）1.0中，現在出現在The Sleuth Kit中。

ifind

概要

ifind [-avVl] [-f fstype] [-d data_unit] **[-n文件] [-p par_inode] [-z ZONE] [-i imgtype] [-o imgoffset] [-b dev_sector_size] **圖像 [圖像]

描述

ifind查找具有data_unit 分配了數據單元或具有給定文件名的元數據結構。在某些情況下，任何結構都可以取消分配，這仍然可以找到結果。

爭論

有幾個必需和可選參數。必須每次指定圖像文件名：

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

您還必須指定要查找的內容，并包括以下內容之一：

-d data_unit

查找已分配給定數據單元（塊，集群等）的元數據結構

-n文件

查找給定文件名指向的元數據結構。

-p par_inode

在NTFS映像中查找以給定inode為父級的未分配MFT條目。可以與-l和-z一起使用。

還有幾個可選參數：

-一個

查找所有元數據結構（僅在使用data_unit查找時有效）。

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-l

列出每個以“ -p”找到的文件的詳細信息，例如“ fls -l”。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-v

詳細輸出到stderr。

-V

顯示版本。

-z區域

如果給出’-p -l’，這將為正確的時間設置時區。

例子

＃ifind -f脂肪-d 456 fat-img.dd

＃ifind -f linux-ext2 -n“ / etc /” linux-img.dd

＃ifind -f ntfs -p 5 -l -z EST5EDT ntfs-img.dd

ils

概要

ils [-emOpvV] [-f *fstype *] [-s *秒* ] [-i *imgtype *] [-o *imgoffset *] [-b dev_sector_size] *圖像* [圖像] [開始-停止]

ils [-aAlLvVzZ] [-f *fstype *] [-s *秒* ] [-i *imgtype *] [-o *imgoffset *] *圖像* [圖像] [開始-停止]

描述

ils將打開命名的映像并列出inode信息。缺省情況下， ils僅列出已刪除文件的索引節點。

參數：

-e

列出文件系統中的每個索引節點。

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-s 秒

原始系統的時間偏差（以秒為單位）。例如，如果原始系統的速度慢了100秒，則該值為-100。

-米

以mactime程序讀取的格式顯示inode詳細信息（替換TCT中的ils2mac腳本）

-O

僅列出仍然打開或正在執行的已刪除文件的inode。此選項是-aL “ 的簡寫形式（請參閱下面的精細控件部分。）（以前是-o）。

-p

顯示孤立的索引節點（未分配，沒有文件名）

-r

（默認）僅列出已刪除文件的inode。該選項是-LZ的簡寫形式（請參見下面的精細控制部分）。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-v

打開詳細模式，輸出到stderr。

-V

顯示版本。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

起止

檢查指定的inode編號或編號范圍。

精細控制：

-一個

僅列出分配的inode：它們屬于文件系統中至少具有一個目錄條目的文件，并且屬于仍處于打開或執行狀態的已刪除文件。

-一個

僅列出未分配的inode：它們屬于不再存在的文件。

-l

僅列出具有至少一個硬鏈接的inode。這些屬于文件系統中具有至少一個目錄條目的文件。

-L

僅列出沒有任何硬鏈接的inode。這些屬于不再存在的文件，屬于仍然打開或正在執行的已刪除文件。

-z

僅列出可能尚未使用的inode。

-Z

僅列出可能使用的inode。

輸出格式為時間機器格式。輸出從描述數據來源的兩行標頭開始，然后是單行標頭，該標頭列出了構成輸出其余部分的數據屬性的名稱：

st_ino

索引節點號。

st_alloc

分配狀態：“ a”代表已分配的inode，“ f”代表空閑的inode。

st_uid

所有者用戶標識。

st_gid

所有者組ID。

st_mtime

上次文件修改的UNIX時間（秒）。

st_atime

上次文件訪問的UNIX時間（秒）。

st_ctime

UNIX上次inode狀態更改的時間（秒）。

st_dtime

刪除文件的UNIX時間（秒）（僅LINUX）。

st_mode

文件類型和權限（八進制）。

st_nlink

硬鏈接數。

st_size

文件大小（以字節為單位）。

st_block0，st_block1

直接塊地址列表中的前兩個條目。

istat

概要

istat [-B *num *] [-f *fstype *] [-i imgtype] [-o imgoffset] [-b dev_sector_size] [-vV] [-z *區域* ] [-s *秒* ] *image* [images] inode

描述

istat顯示uid，gid，模式，大小，鏈接號，修改，訪問，更改的時間以及結構已分配的所有磁盤單元。

選項如下：

-B num

顯示num個磁盤單元的地址。在未分配大小為0的inode但仍具有塊指針時很有用。

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-s秒

原始系統的時間偏差（以秒為單位）。例如，如果原始系統的速度慢了100秒，則該值為-100。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-v

將調試語句的詳細輸出輸出到stderr

-V

顯示版本

-z區

原始系統時區的ASCII字符串。例如，EST5EDT或GMT。這些字符串由操作系統定義，并且可能會有所不同。注意：自TCTUTILs以來，這種情況已更改。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

索引節點

要顯示的元數據編號

統計數據

blkcat

概要

blkcat [-ahswvV] [-f fstype] [-u unit_size] [-i imgtype] [-o imgoffset] [-b dev_sector_size] *圖像* [images] unit_addr [num]

描述

blkcat從圖像到標準輸出的單位地址unit_addr以不同格式顯示 num數據單位（默認為1）（默認為原始）。在3.0.0之前的TSK版本中，blkcat 被稱為 dcat。

爭論

-一個

以ASCII顯示內容

-f fstype

將圖像指定為特定的文件類型。如果在此處給出“交換”，則圖像將以4096字節大小的頁面顯示。如果給出’raw’，則使用512字節作為默認大小。’-u’標志可以更改默認大小。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-H

在hexdump中顯示內容

-s

顯示圖像的統計信息（單位大小，文件塊大小，標志和片段數）。

-u unit_size

指定原始數據，blkls和交換圖像的默認數據單元的大小。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-v

詳細輸出到stderr。

-V

顯示版本。

-w

以HTML表格格式顯示內容。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

unit_addr

要顯示的磁盤單元的地址。可以使用-s選項確定此文件系統上單元的大小。

數

要顯示的數據單元數。

blkcat 的基本功能也可以使用dd來實現。要確定哪個inode已分配給定單元，可以使用ifind（1）命令。

blkls

概要

blkls [-aAelsvV] [-f *fstype *] [-i *imgtype *] [-o *imgoffset *] *[-b* dev_sector_size]圖像[圖像] [開始-停止]

描述

blkls打開命名的映像并復制文件系統數據單元（塊）。默認情況下， blkls復制未分配數據塊的內容。在3.0.0之前的TSK版本中，blkls被稱為 dls。在TCT中，blkls *被稱為 *unrm。

爭論

-e

復制每個塊，包括文件系統元數據塊。輸出是整個文件系統。

-一個

顯示所有分配的塊（如果還提供了-A，則與-e相同）。

-一個

顯示所有未分配的塊（如果還提供了-a，則與-e相同）。這是默認行為。

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-l

以時間機器格式列出數據信息。

-s

僅復制圖像的松弛空間。

-v

打開詳細模式，輸出到stderr。

-V

顯示版本。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

啟停…

檢查指定的塊號或編號范圍。

blkstat

概要

blkstat [-f *fstype *] [-i imgtype] [-o imgoffset] [-b dev_sector_size] [-vV] *圖像* [images] addr

描述

blkstat顯示給定數據單元的分配狀態。在3.0.0之前的TSK版本中，blkstat被稱為 dstat。

爭論

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-v

將調試語句的詳細輸出輸出到stderr

-V

顯示版本

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

地址

顯示統計信息的地址。對于UNIX文件系統，這是一個片段；對于FAT，這是一個扇區。

blkcalc

概要

blkcat [-ahswvV] [-f fstype] [-u unit_size] [-i imgtype] [-o imgoffset] [-b dev_sector_size] *圖像* [images] unit_addr [num]

描述

blkcat從圖像到標準輸出的單位地址unit_addr以不同格式顯示 num數據單位（默認為1）（默認為原始）。在3.0.0之前的TSK版本中，blkcat 被稱為 dcat。

爭論

-一個

以ASCII顯示內容

-f fstype

將圖像指定為特定的文件類型。如果在此處給出“交換”，則圖像將以4096字節大小的頁面顯示。如果給出’raw’，則使用512字節作為默認大小。’-u’標志可以更改默認大小。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-H

在hexdump中顯示內容

-s

顯示圖像的統計信息（單位大小，文件塊大小，標志和片段數）。

-u unit_size

指定原始數據，blkls和交換圖像的默認數據單元的大小。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-v

詳細輸出到stderr。

-V

顯示版本。

-w

以HTML表格格式顯示內容。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

unit_addr

要顯示的磁盤單元的地址。可以使用-s選項確定此文件系統上單元的大小。

數

要顯示的數據單元數。

blkcat 的基本功能也可以使用dd來實現。要確定哪個inode已分配給定單元，可以使用ifind（1）命令。

jcat

概要

jcat [-f *fstype *] [-vV] [-i imgtype] [-o imgoffset] [-b dev_sector_size] *image* [images] ] [ *inode *] *jblk*

描述

jcat顯示文件系統日志中日志塊的內容。可以指定日志的索引節點地址，或使用默認位置。請注意，塊地址是日記塊地址，而不是文件系統塊。原始輸出提供給STDOUT。

爭論

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-V

顯示版本

-v

詳細輸出

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

[inode]

可以在其中找到文件系統日志的索引節點。

b

要顯示的日志塊。

jls

概要

jls [-f *fstype *] [-vV] [-i imgtype] [-o imgoffset] [-b dev_sector_size] *圖像* [圖像] [inode]

描述

jls列出文件系統日志中的記錄和條目。如果給出了inode，則它將在那里查找日志。否則，它將使用默認位置。輸出列出了日記帳編號和描述。

爭論

-f fstype

指定文件系統類型。使用“ -f列表”列出支持的文件系統類型。如果未給出，則使用自動檢測方法。

-i imgtype

標識圖像文件的類型，例如原始或拆分。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o imgoffset

文件系統在映像中開始的位置的扇區偏移量。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-V

顯示版本

-v

詳細輸出

圖片[images]

一個（或多個，如果已拆分）磁盤或分區映像，其格式以“ -i”給出。

[inode]

可以在其中找到文件系統日志的索引節點。

mmls

概要

mmls [-t *mmtype *] [-o *偏移量* ] [-i *imgtype *] [-b dev_sector_size] [-BrvV] [-aAmM] *圖像* [圖像]

爭論

-t mmtype

指定媒體管理類型。使用“ -t列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o偏移

在包含分區系統的卷開始的映像中指定偏移量。分區系統的相對偏移將添加到該值。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-B

包括一列，分區大小以字節為單位

-r

遞歸到DOS分區并查找其他分區表。當在x86系統上安裝Unix時，經常會發生此設置。

-v

將調試語句的詳細輸出輸出到stderr

-V

顯示版本

-一個

顯示分配的卷

-一個

顯示未分配的卷

-米

顯示元數據量

-M

隱藏元數據卷

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

‘mmls’與Linux中的’fdisk -lu’類似，但有一些區別。即，它將顯示未使用的扇區，以便可以搜索那些扇區以查找隱藏數據。它還提供了長度值，以便可以更輕松地將其插入“ dd”以提取分區。它還將顯示Free，Open和NetBSD的BSD磁盤標簽，并以扇區而不是柱面顯示輸出。最后，它可以在非Linux系統上運行。

如果未指定-a，-A，-m或-M，則將列出所有卷類型。如果給出了它們中的任何一個，那么僅列出在命令行上指定的類型。

分配的卷是在卷系統的分區表中列出的卷，可以存儲數據。mmls實際上創建了未分配的卷，以向您顯示哪些扇區尚未分配給卷。元數據卷與已分配和未分配的卷重疊，并描述分區表和其他元數據結構的位置。在某些卷系統中，這些結構在分配的空間中，而在另一些系統中，它們在未分配的空間中。在某些卷系統中，分區表中明確給出了它們的位置，而在其他卷系統中則沒有。

例子

要使用自動檢測列出Windows系統的分區表：

＃mmls disk_image.dd

列出從分割映像的扇區12345開始的BSD系統的內容：

＃mmls -t bsd -o 12345 -i分割disk-1.dd disk-2.dd

輸出范例

DOS分區

在DOS分區上運行’mmls’的輸出

％mmls -t dos disk.dd DOS分區表單位在512字節扇區中
插槽起始端長度說明 00：元0000000000 0000000000 0000000001主表（＃0） 01：—– 0000000000 0000000062 0000000063未分配 02：00:00 0000000063 0002056319 0002056257 Win95 FAT32（0x0B） 03：00:01 0002056320 0008209214 0006152895 OpenBSD（0xA6） 04：00:02 0008209215 0019999727 0011790513 FreeBSD（0xA5）

第一列列出了Sleuth Kit分配的分區ID。

“ 插槽”列列出了該分區在卷系統表中的描述位置。該列的內容是特定于卷系統的，但以下是一些常規條目：

##：兩位數字用于只有一個表的卷系統，該數字對應于單個表中的條目。
##：##：此格式用于具有多個表（例如DOS分區）的卷系統。前兩個數字對應于表ID，第二組數字對應于該表中的條目。00:01是表0中的條目1。
元：用于描述由TSK創建的條目，以顯示元數據結構的位置。可以使用標志選項禁止元條目。這些條目不在任何卷系統表中，但可能對用戶有所幫助。
—–：這用于標識由TSK為未分配空間創建的條目。

“ 開始”，“ 結束 ”和“ 長度”列描述了卷的開始，結束和長度（以扇區為單位）。最后一欄是該卷的文字說明。有時，這直接來自于卷表，而有時它是由TSK創建的。

BSD磁盤標簽

在DOS分區內的OpenBSD磁盤標簽上運行“ mmls”的輸出（如DOS分區示例所示）。

％mmls -t bsd -o 2056321 disk.dd BSD磁盤標簽單位在512字節扇區中
插槽起始端長度說明 00：02 0000000000 0019999727 0019999728未使用（0x00） 01：08 0000000063 0002056319 0002056257 MSDOS（0x08） 02：00 0002056320 0002260943 0000204624 4.2BSD（0x07） 03：01 0002260944 0002875823 0000614880交換（0x01） 04：03 0002875824 0003080447 0000204624 4.2BSD（0x07） 05：04 0003080448 0003233663 0000153216 4.2BSD（0x07） 06：07 0003233664 0004257791 0001024128 4.2BSD（0x07） 07：06 0004257792 0008209214 0003951423 4.2BSD（0x07） 08：09 0008209215 0019984859 0011775645未知（0x0A）

Mac分區

在Mac系統上運行“ mmls”的輸出：

＃mmls -t mac mac-disk.dd MAC分區圖單位在512字節扇區中
插槽起始端長度說明 00：—– 0000000000 0000000000 0000000001未分配 01：元0000000001 0000000010 0000000010表 02：00 0000000001 0000000063 0000000063 Apple_partition_map 03：01 0000000064 0000000117 0000000054 Apple_Driver43 04：02 0000000118 0000000191 0000000074 Apple_Driver43 05：03 0000000192 0000000245 0000000054 Apple_Driver_ATA 06：04 0000000246 0000000319 0000000074 Apple_Driver_ATA 07：05 0000000320 0000000519 0000000200 Apple_FWDriver 08：06 0000000520 0000001031 0000000512 Apple_Driver_IOKit 09：07 0000001032 0000001543 0000000512 Apple_Patches 10：08 0000001544 0039070059 0039068516 Apple_HFS 11：09 0039070060 0039070079 0000000020 Apple_Free

太陽VTOC

在Sun sparc磁盤上運行“ mmls”的輸出：

＃mmls -t sun solaris.disk.dd 太陽VTOC 單位在512字節扇區中
插槽起始端長度說明 00：01 0000000000 0001048949 0001048950交換（0x03） 01：02 0000000000 0010257029 0010257030備份（0x05） 02：07 0001050840 0001460024 0000409185 / home /（0x08） 03：05 0001460025 0001971269 0000511245 / var /（0x07） 04：00 0001971270 0004113584 0002142315 /（0x02） 05：06 0004113585 0010257029 0006143445 / usr /（0x04）

mmstat

名稱

mmstat-顯示有關卷系統的詳細信息（分區表）

概要

mmstat [-t *mmtype *] [-o *偏移量* ] [-i *imgtype *] [-b dev_sector_size] [-vV] *圖像* [圖像]

描述

mmstat顯示卷系統的常規詳細信息，其中包括分區表和磁盤標簽。主要給出類型。

爭論

-t mmtype

指定媒體管理類型。使用“ -t列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o偏移

在包含分區系統的卷開始的映像中指定偏移量。分區系統的相對偏移將添加到該值。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-v

將調試語句的詳細輸出輸出到stderr

-V

顯示版本

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

mmcat

名稱

mmcat-將分區的內容輸出到stdout

概要

mmcat [-t *mmtype *] [-o *偏移量* ] [-i *imgtype *] [-b dev_sector_size] [-vV] *圖像* [圖像] part_num

描述

mmcat將特定卷的內容輸出到stdout。這使您可以將分區的內容提取到單獨的文件中。

爭論

-t mmtype

指定媒體管理類型。使用“ -t列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-o偏移

在包含分區系統的卷開始的映像中指定偏移量。分區系統的相對偏移將添加到該值。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-v

將調試語句的詳細輸出輸出到stderr

-V

顯示版本

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

part_num

要處理的分區的地址。請參見mmls輸出，以確定分區的地址。

img_stat

名稱

img_stat-顯示圖像文件的詳細信息

概要

img_stat [-i imgtype] [-b dev_sector_size] [-tvV] *圖片* [images]

描述

img_stat顯示與圖像文件關聯的詳細信息。此命令的輸出特定于圖像格式。對于分割圖像格式，將至少給出大小，并給出每個文件的字節范圍。

爭論

-i imgtype

標識圖像文件的類型，例如原始文件。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-t

僅打印圖像類型。

-v

將調試語句的詳細輸出輸出到stderr

-V

顯示版本

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

img_cat

名稱

img_cat-輸出圖像文件的內容。

概要

img_cat [-i imgtype] [-b dev_sector_size] [-s start_sector] [-e stop_sector] [-vV] *圖片* [images]

描述

img_cat輸出圖像文件的內容。非原始的圖像文件將具有嵌入的數據和元數據。img_cat將僅輸出數據。這使您可以將嵌入的格式轉換為原始格式，或者通過將輸出傳遞到適當的工具來計算數據的MD5哈希。

爭論

-i imgtype

標識圖像文件的類型，例如raw或aff。使用“ -i列表”列出支持的類型。如果未給出，則使用自動檢測方法。

-b dev_sector_size

基礎設備扇區的大小（以字節為單位）。如果未給出，則使用圖像格式的值（如果存在）或假定為512字節。

-s start_sector

起始的扇區號。

-e stop_sector

要停止的扇區號。

-v

將調試語句的詳細輸出輸出到stderr

-V

顯示版本

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

hfind

名稱

hfind-在哈希數據庫中查找哈希值

概要

hfind [-i *db_type *] [-f *lookup_file *] [-eq] *db_file* [哈希]

描述

hfind使用二進制搜索算法在數據庫中查找哈希值。這使人們可以輕松地創建哈希數據庫，并確定文件是否已知。它可與NIST國家軟件參考庫（NSRL）和“ md5sum”的輸出一起使用。

在“ hfind”可以使用數據庫之前，必須使用“ -i”選項創建索引文件。

需要此工具以提高效率。大多數基于文本的數據庫沒有固定長度的條目，有時沒有排序。hfind工具將創建一個已排序并具有固定長度條目的索引文件。這允許使用二進制搜索算法而非線性搜索（例如“ grep”）進行快速查找。

爭論

-i db_type

為數據庫創建索引文件。必須先執行此步驟，然后才能執行查找。“ db_type”參數指定數據庫類型（即nsrl-md5或md5sum）。請參閱以下部分。

-f lookup_file

指定每行包含一個哈希值的文件的位置。這些哈希將在數據庫中查找。

-e

擴展模式。除了名稱以外，還會打印其他信息。（并不適用于所有哈希數據庫類型）。

-q

快速模式。如果沒有找到哈希，則顯示0，否則顯示1，而不是使用哈希顯示相應的信息。如果使用此標志，則一次只能給出一個散列。

-V

顯示版本

db_file

哈希數據庫文件的位置。

[哈希]

查找的哈希值。如果命令行上未提供它們，則使用STDIN。如果同時存在SHA-1和MD5哈希的索引文件，則可以在運行時給出兩種類型的哈希。

索引文件

hfind使用索引文件對哈希值執行二進制搜索。這比使用“ grep”進行線性搜索要快得多。在使用哈希數據庫之前，必須創建相應的索引文件。這可以通過hfind的“ -i”選項來完成。

結果索引文件將基于數據庫文件名進行命名。該名稱將具有原始名稱，后跟哈希類型（sha1或md5），后跟“ .idx”。例如，創建NIST NSRL的MD5哈希索引將導致“ NSRLFile.txt-md5.idx”，而SHA-1索引將導致“ NSRLFile.txt-sha1.idx”。

該文件有兩列。每個條目均按第一列（即哈希值）排序。第二列具有原始文件中相應條目的字節偏移。因此，當在索引中找到散列時，將記錄偏移量，然后“ hfind”將查找原始數據庫中的條目。

以下輸入類型有效。對于NSRL，可以使用“ nsrl-md5”和“ nsrl-sha1”。區別在于索引是按哪個哈希值排序的。“ md5sum”值還可以用于對“自制”數據庫進行排序和索引。“ hfind”可以采用兩種常見格式的數據：

MD5（test.txt）= 76b1f4de1522c20b67acc132937cf82e

和

76b1f4de1522c20b67acc132937cf82e test.txt

例子

要為NIST NSRL創建MD5索引文件：

＃hfind -i nsrl-md5 /usr/local/hash/nsrl/NSRLFile.txt

要在NSRL中查找值：

＃hfind /usr/local/hash/nsrl/NSRLFile.txt 76b1f4de1522c20b67acc132937cf82e

76b1f4de1522c20b67acc132937cf82e找不到哈希

如果需要，甚至可以同時使用SHA-1和MD5：

＃hfind -i nsrl-sha1 /usr/local/hash/nsrl/NSRLFile.txt

＃hfind /usr/local/hash/nsrl/NSRLFile.txt 76b1f4de1522c20b67acc132937cf82e 80001A80B3F1B80076B297CEE8805AAA04E1B5BA

76b1f4de1522c20b67acc132937cf82e找不到哈希

80001A80B3F1B80076B297CEE8805AAA04E1B5BA thrdcore.cpp

要建立可信任系統的重要二進制文件的數據庫，請使用“ md5sum”：

＃md5sum / bin / * / sbin / * / usr / bin / * / usr / bin / * / usr / local / bin / * / usr / local / sbin / *> system.md5

＃hfind -i md5sum system.md5

要查找條目，將執行以下操作：

＃hfind system.md5 76b1f4de1522c20b67acc132937cf82e

76b1f4de1522c20b67acc132937cf82e找不到哈希

要么

＃md5sum -q / bin / * | hfind system.md5

928682269cd3edb1acdf9a7f7e606ff2 / bin / bash

<…>

要么

＃md5sum -q / bin / *> bin.md5

＃hfind -f bin.md5 system.md5

928682269cd3edb1acdf9a7f7e606ff2 / bin / bash

<…>

也可以看看

分選機（1）

NIST國家軟件參考庫（NSRL）可以在www.nsrl.nist.gov上找到。

執照

在“通用公共許可證”下分發，可以在The Sleuth Kit許可證目錄的cpl1.0.txt文件中找到。

mactime

名稱

mactime-創建文件活動的ASCII時間線

概要

mactime [-b *正文* ] [-g *組文件] [-p *密碼文件] [-i *（天|小時）索引文件 *] [-dhmVy] [-z *TIME_ZONE *] [DATE_RANGE]**

描述

mactime根據’-b’或STDIN指定的主體文件創建文件活動的ASCII時間線。時間線將寫入STDOUT。主體文件必須采用由’ils -m’，’fls -m’或mac-robber工具創建的時間機器格式。

爭論

-b身體

指定主體文件的位置。該文件必須由諸如“ fls -m”或“ ils -m”之類的工具生成。’mac-robber’和’grave-robber’工具也可用于生成文件。

-g組文件

指定組文件的位置。如果給出了，mactime將顯示組名而不是GID。

-p密碼文件

指定passwd文件的位置。mactime將顯示用戶名，而不是給出的UID。

-i天|小時索引文件

指定要寫入的索引文件的位置。第一個參數指定粒度，可以是每小時摘要或每天。如果給出了’-d’標志，則摘要將以’，’分隔，以導入電子表格。

-d

以逗號分隔的格式顯示時間軸和索引文件。這用于將數據導入到電子表格中以進行演示或圖形化。

-H

顯示有關會話的標題信息，包括時間范圍，輸入源以及passwd或組文件。

-V

將版本顯示到STDOUT。

-米

月份以數字而不是名稱給出（不適用于-y）。

-y

日期以ISO8601格式顯示。

-z TIME_ZONE

收集數據的時區。此參數的名稱取決于系統（例如EST5EDT，GMT + 1）。不適用于-y。

-z列表

列出有效的時區。

日期范圍

要作為時間表的日期范圍。標準格式為yyyy-mm-dd，表示開始日期，沒有結束日期。對于結束日期，請使用yyyy-mm-dd..yyyy-mm-dd。日期可以包含時間，請使用格式yyyy-mm-ddThh：mm：ss作為開始和/或結束日期。

執照

在TCT和mac-daddy中對Mactime所做的更改是在“通用公共許可證”下分發的，該文件位于The Sleuth Kit許可證目錄中的 cpl1.0.txt文件中。

歷史

Mactime的 一個版本首先出現在The Coroner’s Toolkit（TCT）（Dan Farmer）中 ，后來出現在mac-daddy（Rob Lee）中。

sorter

名稱

分類器-根據文件類型將圖像中的文件分類

概要

[-b *大小* ] [-e] [-E] [-h] [-l] [-md5] [-s] [-sha1] [-U] [-v] [-V] [-a *hash_alert *] [-c *配置* ] [-C *配置* ] [-d *目錄* ] [-m *mnt *] [-n *nsrl_db *] [-x *hash_exclude *] [-i imgtype] [-o imgoffset] [-f fstype]圖像[image] [ meta_addr]

描述

sorter 是一個Perl腳本，它分析文件系統以按文件類型組織已分配和未分配的文件。它在每個文件上運行“文件”命令，并根據配置文件中的規則組織文件。擴展名不匹配也可以識別“隱藏”文件。還可以為已知良好的文件提供哈希數據庫，可以將其忽略，而已知不良的文件應警告數據庫。

默認情況下，該程序使用安裝了偵探工具包的目錄中的配置文件。那些可以被運行時選項否決。對于所有文件系統類型，都有一個標準配置文件，然后對于給定的操作系統，有一個特定的配置文件。

爭論

必需的參數如下。這將分析一個或多個圖像，并將結果保存在“ -d”目錄中或將結果列出到STDOUT（如果給出了“ -l”）。

-d目錄

指定應寫入所有文件的位置。如果給出了“ -s”標志，則包括索引文件和子目錄。除非給出“ -l”列表標志，否則必須給出這個。

-l

將信息列出到STDOUT（永遠不會寫入文件）。這對于使用“ netcat”的事件響應很有用。如果使用“ -d”，則無法使用。

圖片[images]

要讀取的磁盤或分區映像，其格式以“ -i”給出。如果將圖像分成多個段，則可以指定多個圖像文件名。如果僅給出一個圖像文件，并且其名稱是序列中的第一個文件（例如，以“ .001”結尾的文件），則后續的圖像段將自動包含在內。

選項如下：

-f fstype

指定圖像的文件系統類型。這與偵探工具包使用的類型相同。

-i imgtype

指定文件系統所在的圖像類型。這與偵探工具包使用的類型相同。

-o imgoffset

指定從映像開頭到文件系統開頭的扇區偏移量。

-b大小

指定要處理的文件的最小大小。所有小于此大小的文件將被忽略。

-c配置

指定其他配置文件的位置。除了安裝目錄中的標準文件外，還將加載此文件。這些設置將優先于標準文件。

-C配置

指定僅配置文件的位置。如果提供此選項，則不會加載標準配置文件。例如，在“ share / sort”目錄中，有一個名為“ images.sort”的文件。該文件僅包含有關圖形圖像的規則。如果使用-C指定，則僅保存有關該圖像的圖像。

-m mnt

指定要分析的圖像的安裝點。這僅出于裝飾性原因。寫入輸出文件中的條目時，文件將具有完整路徑，而不僅僅是相對路徑。如果給出，則只能給出一張圖像。

-a hash_alert

在哈希數據庫中指定包含已知“錯誤”文件條目的位置。如果在此數據庫中找到任何帶有MD5哈希值的文件，它將被放置在特殊的警報文件中。在排序器使用該數據庫之前，必須已使用The Sleuth Kit中的“ hfind”為MD5對該數據庫進行了索引。

-n nsrl_db

指定NIST國家軟件參考庫（NSRL）數據庫（www.nsrl.nist.org）的位置。在NSRL中找到的任何文件都將被忽略，并且不會放入類別中。在排序器使用數據庫之前，必須在The Sleuth Kit中使用’hfind’為MD5建立索引。該數據庫文件當前稱為“ NSRLFile.txt”。

-x hash_exclude

指定哈希數據庫的位置，其中包含已知的“良好”文件。如果在此數據庫中找到任何帶有MD5哈希值的文件，它將被忽略并且不會被處理或保存到類別文件中。在排序器使用該數據庫之前，必須已使用The Sleuth Kit中的“ hfind”為MD5對該數據庫進行了索引。

-e

對擴展名進行不匹配檢查（不生成類別索引文件）

-U

不要保存有關未知文件類型的數據。默認情況下，將為未知“文件”輸出的文件創建一個“未知”文件。這樣一來，他們就可以完善自己的配置。如果不希望這樣做，請使用此標志。

-H

在HTML中創建類別文件

-md5

計算每個文件的MD5值并將其保存在類別文件中。當給出任何數據庫時，這將自動完成。

-sha1

計算每個文件的SHA-1值并將其保存在類別文件中。

-s

將實際文件內容保存到“ -d”指定的目錄中的子目錄中。例如，所有JPG和GIF文件實際上都將保存在“圖像”目錄中。如果還給出“ -h”，則還將創建圖形圖像的縮略圖。

-v

顯示詳細信息

-V

顯示版本。

[meta_addr]

開始的目錄的元數據地址。默認情況下，使用根目錄。如果給出，則只能給出一張圖像。

流程概述

sorter是一個Perl腳本，可與其他The Sleuth Kit工具進行交互。首先從安裝目錄中讀取配置文件。每個操作系統都有一個常規的配置文件和一個特定的配置文件。具體的是從“ -f”標志確定的。每個配置文件都包含用于處理“文件”命令輸出的規則。一種類型的行（使用正則表達式）標識給定“文件”輸出所屬的類別（即“圖像”）（即“圖像數據”）。另一個規則顯示屬于“文件”輸出（即ASCII（。*？）文本）的文件擴展名（即.txt）。請參閱下面的“規則”部分。

然后，程序將運行The Sleuth Kit中的’fls’工具，以識別文件系統映像中的文件。使用“ icat”工具查看每個識別的文件。如果提供了哈希數據庫，則將計算并查找文件的哈希。如果在“警報”數據庫中找到它，則將其添加到特殊的“ alert.txt”文件中。如果在NSRL或“排除”數據庫中找到該文件，則將其視為已知的正常文件。排除的文件記錄在“排除”文件中，以備將來參考，但未保存在類別文件中。

然后運行“文件”命令以識別文件類型（基于標題信息）。配置文件規則用于標識它屬于哪個類別。將條目添加到相應的類別文件（在“ -d dir”目錄中）。如果給出了“ -s”標志，那么該文件的副本將保存在與類別同名的子目錄中。如果使用HTML格式，則超鏈接將使您可以輕松查看保存的文件并查看每個類別中的內容。

沒有類別的文件記錄在“未知”類別和“數據”類別中。“數據”用于具有“文件”未知結構的文件，“未知”用于具有“文件”已知結構的文件。這些已保存以備將來參考，但是可以使用’-U’標志忽略未知類別。

可以使用-s標志保存文件的副本。如果是這樣，則將文件保存在以類別名稱命名的子目錄中。每個文件都使用文件系統映像名稱，后跟元數據地址和原始文件擴展名來命名。類別索引文件可用于將實際名稱轉換為保存的名稱。HTML格式使查看更加容易，因為存在來自類別索引文件的每個文件的鏈接。

該程序還將參考有關文件擴展名的規則。如果文件末尾帶有擴展名（“。”后的任何內容），則將其與規則進行比較。如果在規則中找不到該擴展名作為文件類型的有效擴展名，則會將其添加到“不匹配”文件中。如果文件沒有擴展名，即使文件類型具有有效的擴展名也不會輸入。即使在已知的良好哈希數據庫之一中找到該文件，也會執行此檢查。如果在其中之一中找到它，它將被添加到一個特殊文件中。默認情況下，“數據”類型的文件不執行擴展名檢查（因為它們的結構未知）。

該程序還將使用“ ils”命令的輸出重復上述過程。這使“分類器”可以檢查仍具有指向數據單元的指針的未分配文件的內容（并非所有文件系統都會從該步驟生成數??據）。