fls

名前

fls - ディスクイメージからファイル、ディレクトリ名を表示する

書式

fls [-adDFlpruvV] [-m mnt ] [-z zone ] [-f fstype ] [-s seconds ] [-i imgtype ] [-o imgoffset ] [-b dev_sector_size ] image [images] [ inode ]

説明

flsはimage内のファイル、ディレクトリ名を表示する。また、inodeで指定されたiノードを使っているディレクトリの最近削除されたファイル名を表示する。inodeが指定されなければ、ルートディレクトリのiノードの値となる。例えば、NTFSでは5となり、Ext3では2となる。

指定可能な引数は以下は以下の通りである。

-a

"."と".."のディレクトリエントリを表示する(デフォルトでは表示しない)。

-d

削除済のエントリのみ表示する。

-D

ディレクトリエントリのみ表示する。

-f fstype

イメージのファイルシステムタイプを指定する。引数に"-f list"を指定するとサポートされているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。

-F

ファイルエントリ(ディレクトリではないエントリ)のみを表示する。

-l

長い形式でファイルの詳細を表示する。以下の形式で表示される。

file_type inode file_name mod_time acc_time chg_time cre_time size uid gid

(訳注: ファイルタイプ iノード ファイル名 mtime atime ctime ファイル作成日時 ファイルサイズ uid gid)

-m mnt

mactime(1)で時系列を作成できるように時間フォーマットでファイルを表示する。mntで与えられる文字列はマウントポイントのファイル名として先頭に追加されて表示する(例えば/usr)。

-p

各エントリの完全パスを表示する。デフォルトではディレクトリ毎に"+"記号で示される。

-r

ディレクトリを再帰的に表示する。これは削除済のディレクトリには適用できない。

-s seconds

オリジナルのシステム時刻(秒)の誤差を指定する。例えば、オリジナルのシステムで100秒遅れていれば、ここでは-100と指定する。-lまたは-mが指定された場合のみ有効となる。

-i imgtype

イメージファイルのタイプをrawのように指定する。引数に"-i list"を指定するとサポートされているタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。

-o imgoffset

そのイメージ内でファイルシステムの先頭を指すセクタのオフセットを指定する。

-b dev_sector_size

デバイスのセクタサイズをバイト値で指定する。このオプション指定がない場合はイメージフォーマットで利用されている値か512が指定される。

-u

削除されていないエントリのみを表示する。

-v

標準エラー出力STDERRに詳細情報を出力する。

-V

バージョン情報を表示する。

-z zone

オリジナルのタイムゾーンをASCIIコードで指定する。例えばESTやGMTなどである(訳注: 日本時間の場合はJST)。これらは使っているOSで定義されていなければならない。

image [images]

-iで指定した形式のディスク(パーティション)イメージを指定する。イメージが複数に分割されている場合は複数のファイル名を指定することができる。もし1つだけ指定されて、かつそれが連続する名前の先頭(例えばファイル名が'.001'のように終わっている)であった場合、後続のイメージは自動的に含まれる。

iノードが決められれば、The Coroners Toolkitのicat(1)を用いてファイルを復元することができる。削除済ファイルのエントリから復元できる内容はシステムによって異なる。例えばLinuxでは最近削除されたファイルの復元は容易であるがSolarisではiノードが特定できても復元は困難である(訳注: LinuxでもExt3ファイルシステムであれば復元は困難である)。もしあるiノードに属しているファイル名を知りたいだけであればffind(1)を用いたほうが簡単である。

例

イメージ内の全てのファイルとディレクトリリストを得る方法:
        # fls -r image 2
または単に以下を実行する(inodeが指定されなければルートディレクトリのiノードが使われる)
        # fls -r image
指定されたディレクトリの削除済ファイルのフルパスを得る方法:
        # fls -d -p image 29
mactimeの出力を得る方法:
        # fls -m /usr/local image 2
もしファイルシステムがセクタ63からはじまるディスクイメージの場合:
        # fls -o 63 disk-img.dd
ディスクイメージが複数のファイルに分割されている場合:
        # fls -i "split" -o 63 disk-1.dd disk-2.dd disk-3.dd

関連項目

ffind(1), icat(1)

著者

Brian Carrier <carrier at sleuthkit dot org> ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。