C Disk Image Functions

Macros

TSK_IMG_TYPE_ISAFF

#define TSK_IMG_TYPE_ISAFF(t)

Value:
((((t) & TSK_IMG_TYPE_AFF_AFF) || ((t) & TSK_IMG_TYPE_AFF_AFD) || ((t) & TSK_IMG_TYPE_AFF_AFM) ||
((t) & TSK_IMG_TYPE_AFF_ANY))?1:0)
具有圖像類型的宏，如果該類型是AFF文件格式的，則返回1。

TSK_IMG_TYPE_ISEWF & TSK_IMG_TYPE_EWF_EWF

#define TSK_IMG_TYPE_ISEWF(t) ((((t) & TSK_IMG_TYPE_EWF_EWF))?1:0)

具有圖像類型的宏，如果該類型用于EWF文件格式，則返回1。

TSK_IMG_TYPE_ISRAW & TSK_IMG_TYPE_RAW

#define TSK_IMG_TYPE_ISRAW(t)   ((((t) & TSK_IMG_TYPE_RAW))?1:0)

具有圖像類型的宏，如果該類型是原始文件格式，則返回1。

Functions

tsk_img_close

void tsk_img_close(TSK_IMG_INFO * a_img_info)

關閉打開的磁盤映像。
Parameters
a_img_info指向打開的磁盤映像結構的指針。
參考TSK_IMG_INFO :: cache_lock。
由TskAuto :: closeImage（）和TskAuto :: findFilesInPool（）引用。

tsk_img_open

void tsk_img_close(TSK_IMG_INFO * a_img_info)

打開一個或多個磁盤映像文件，以便可以讀取它們。
如果指定了文件格式類型，則此函數將調用特定例程以打開文件。否則，它將檢測類型（如果無法檢測到特定類型，則默認為原始）。必須先調用此函數，然后才能讀取磁盤映像。請注意，用于存儲圖像路徑的數據類型是TSK_TCHAR，該類型根據Unix或Windows構建而變化。如果您將始終擁有UTF8，請考慮使用tsk_img_open_utf8（）。
Parameters
num_img 要打開的圖像數（分割圖像將大于1）。
圖片 圖像文件的路徑（文件數必須等于num_img并且它們必須按排序順序）
類型 磁盤映像類型（可以是自動檢測）
a_ssize 設備扇區的大小（以字節為單位）（默認為0）
Returns
指向TSK_IMG_INFO或錯誤時為NULL的指針
參考TSK_IMG_INFO :: cache_lock，TSK_IMG_INFO :: ITYPE，tsk_error_get_errno（） ，tsk_error_reset（） ，tsk_error_set_errno（） ，tsk_error_set_errstr（） ，TSK_IMG_TYPE_AFF_AFD，TSK_IMG_TYPE_AFF_AFF，TSK_IMG_TYPE_AFF_AFM，TSK_IMG_TYPE_AFF_ANY，TSK_IMG_TYPE_DETECT，TSK_IMG_TYPE_EWF_EWF，TSK_IMG_TYPE_RAW，TSK_IMG_TYPE_VHD_VHD，TSK_IMG_TYPE_VMDK_VMDK和tsk_verbose。
由TskImgInfo :: open（），TskAuto :: openImage（），tsk_img_open_sing（）和tsk_img_open_utf8（）引用。

tsk_img_open_external

void tsk_img_close(TSK_IMG_INFO * a_img_info)

打開一個類型為TSK_IMG_TYPE_EXTERNAL的圖像。
void指針參數必須可強制轉換為TSK_IMG_INFO指針。調用者可以在ext_img_info中設置標簽值。此方法將初始化緩存鎖。
Parameters

• ext_img_info 指向部分初始化的磁盤映像結構的指針，該結構具有TSK_IMG_INFO作為其第一成員
• size 圖片總大小（以字節為單位）
• sector_size 設備的扇區大小（以字節為單位）
• read 指向用戶提供的讀取功能的指針
• close 指向用戶提供的關閉功能的指針
• imgstat 指向用戶提供的imgstat函數的指針

Returns
指向TSK_IMG_INFO或錯誤時為NULL的指針
參考TSK_IMG_INFO :: cache_lock，TSK_IMG_INFO :: imgstat，TSK_IMG_INFO :: ITYPE，TSK_IMG_INFO :: SECTOR_SIZE，TSK_IMG_INFO ::大小，TSK_IMG_INFO ::標簽，tsk_error_reset（） ，tsk_error_set_errno（） ，tsk_error_set_errstr（） ，和TSK_IMG_TYPE_EXTERNAL。

tsk_img_open_sing

void tsk_img_close(TSK_IMG_INFO * a_img_info)

打開一個（非拆分）磁盤映像文件，以便可以讀取它。
這是tsk_img_open（）的包裝。有關檢測等的更多詳細信息，請參見它。有關始終使用UTF-8作為輸入的此函數的版本，請參見tsk_img_open_sing_utf8（）。
Parameters

• a_image 圖像文件的路徑
• type 磁盤映像類型（可以是自動檢測）
• a_ssize 設備扇區的大小（以字節為單位）（默認為0）

Returns
指向TSK_IMG_INFO或錯誤時為NULL的指針
參考tsk_img_open（）。

由TskImgInfo :: open（）引用。

tsk_img_open_utf8

void tsk_img_close(TSK_IMG_INFO * a_img_info)

打開一個或多個磁盤映像文件，以便可以讀取它們。
這是tsk_img_open（）的包裝，并且此版本始終采用圖像文件的UTF-8編碼。有關更多詳細信息，請參見其描述。
Parameters

• num_img 要打開的圖像數（分割圖像將大于1）。
• images UTF-8編碼的圖像文件的路徑（文件數必須等于num_img，并且它們必須按排序順序）
• type 磁盤映像類型（可以是自動檢測）
• a_ssize 設備扇區的大小（以字節為單位）（默認為0）

Returns
指向TSK_IMG_INFO或錯誤時為NULL的指針
參考TSK_IMG_INFO :: cache_lock，tsk_error_set_errno（），tsk_error_set_errstr（），tsk_img_open（），tsk_UTF8toUTF16（），TSKconversionOK和TSKlenientConversion。

由TskAuto :: openImageUtf8（）和tsk_img_open_utf8_sing（）引用。

tsk_img_open_utf8_sing

void tsk_img_close(TSK_IMG_INFO * a_img_info)

打開一個（非拆分）磁盤映像文件，以便可以讀取它。
此版本始終采用磁盤映像的UTF-8編碼。有關使用wchar_t或char（取決于平臺）的版本，請參見tsk_img_open_sing（）。這是tsk_img_open（）的包裝。有關檢測等的更多詳細信息，請參見它。
Parameters

• a_image 圖像文件的UTF-8路徑
• type 磁盤映像類型（可以是自動檢測）
• a_ssize 設備扇區的大小（以字節為單位）（默認為0）

Returns
指向TSK_IMG_INFO或錯誤時為NULL的指針
參考tsk_img_open_utf8（）。

tsk_img_read

void tsk_img_close(TSK_IMG_INFO * a_img_info)

從打開的磁盤映像讀取數據。
Parameters

• a_img_info 要讀取的磁盤映像
• ** a_off** 字節偏移量開始讀取
• a_buf 緩沖區讀入
• a_len 讀入緩沖區的字節數

Returns
-1表示錯誤或讀取的字節數
參考TSK_IMG_INFO ::緩存，TSK_IMG_INFO :: cache_age，TSK_IMG_INFO :: cache_len，TSK_IMG_INFO :: cache_lock，TSK_IMG_INFO :: cache_off，TSK_IMG_INFO ::大小，tsk_error_reset（） ，tsk_error_set_errno（） ，和tsk_error_set_errstr（） 。
由TskImgInfo :: read（），tsk_fs_block_get_flag（），tsk_fs_read_block_decrypt（），tsk_fs_read_decrypt（），tsk_vs_part_read（），tsk_vs_part_read_block（）和tsk_vs_read_block（）引用。

tsk_img_type_print

void tsk_img_close(TSK_IMG_INFO * a_img_info)

將支持的圖像類型的名稱和描述打印到句柄。
TSK命令行工具使用它來將支持的類型打印到控制臺。
Parameters
hFile 將名稱和描述打印到的句柄。
參考tsk_fprintf（）。
由TskImgInfo :: typePrint（）引用。

tsk_img_type_supported

void tsk_img_close(TSK_IMG_INFO * a_img_info)

返回支持的文件格式類型。
Returns
如果支持該類型，則將返回值中的一位設置為1。
由TskImgInfo :: typeSupported（）引用。

tsk_img_type_todesc

void tsk_img_close(TSK_IMG_INFO * a_img_info)

返回圖像格式類型的描述（給定其類型ID）。
Parameters

• type 圖像類型的ID

Returns

• 指向描述字符串的指針
  由TskImgInfo :: typeToDesc（）引用。

tsk_img_type_toid

void tsk_img_close(TSK_IMG_INFO * a_img_info)

解析指定圖像格式的字符串以確定關聯的類型ID。
TSK命令行工具使用它來解析命令行上給定的類型。
Parameters

• str 圖片格式類型的字符串

Returns

• 圖像類型的ID
  參考tsk_img_type_toid_utf8（）。
  由TskImgInfo :: typeToId（）引用。

tsk_img_type_toid_utf8

void tsk_img_close(TSK_IMG_INFO * a_img_info)

解析指定圖像格式的字符串以確定關聯的類型ID。
TSK命令行工具使用它來解析命令行上給定的類型。
Parameters

• str:圖片格式類型的字符串，始終為UTF-8

Returns

• 圖像類型的ID
  參考TSK_IMG_TYPE_UNSUPP。
  由tsk_img_type_toid（）引用。

  tsk_img_type_toname

  void tsk_img_close(TSK_IMG_INFO * a_img_info)

  返回圖像格式類型的名稱（給定其類型ID）。
  Parameters

  • type 圖像類型的ID

  Returns

  • 指向名稱字符串的指針。
    由TskImgInfo :: typeToName（）引用。