ffind

名前

ffind - 指定されたiノードを使っているファイル名またはディレクトリ名を探索する

書式

ffind [-aduvV] [-f fstype] [-i imgtype] [-o imgoffset] [-b dev_sector_size] image [images] inode

説明

ffindはディスクイメージimage上のinodeが割り当てられているファイルまたはディレクトリの名前を探索する。デフォルトでは見つけた最初の名前のみを表示する。ファイルシステムによっては削除済のファイル名を表示する。

引数

-a

iノードに関連する情報全てを探索する。

-d

削除済のエントリのみ探索する。

-f fstype

イメージのファイルシステムタイプを指定する。引数に"-f list"を指定するとサポートされているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。

-u

削除されていないエントリのみ探索する。

-i imgtype

イメージファイルのタイプをrawまたはsplitのように指定する。引数に"-i list"を指定するとサポートされているタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。

-o imgoffset

そのイメージ内でファイルシステムの先頭を指すセクタのオフセットを指定する。

-b dev_sector_size

デバイスのセクタサイズをバイト値で指定する。このオプション指定がない場合はイメージフォーマットで利用されている値か512が指定される。

-v

標準エラー出力STDERRに詳細情報を出力する。

-V

バージョン情報を表示する。

image [images]

-iで指定した形式のディスク(パーティション)イメージを指定する。イメージが複数に分割されている場合は複数のファイル名を指定することができる。もし1つだけ指定されて、かつそれが連続する名前の先頭(例えばファイル名が'.001'のように終わっている)であった場合、後続のイメージは自動的に含まれる。

inode

探索するinodeの値を指定する。

このプログラムは全てのディレクトリエントリを検索して指定されたiノードを見つける。これはifind(1)を使ってiノードがディスクユニットアドレスから特定された際に有用である。

例

# ffind -a image 212

関連項目

ifind(1)

著者

Brian Carrier <carrier at sleuthkit dot org>

ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。