名前
ifind - ディスクユニットまたはファイル名に割り当てられているメタデータ構造を探索する
書式
ifind [-avVl] [-f fstype] [-d data_unit] [-n file] [-p par_inode] [-z ZONE] [-i imgtype] [-o imgoffset] [-b dev_sector_size] image [images]
説明
ifindはdata_unitで指定された割当済データユニット、または指定されたファイル名をもつメタデータ構造を探索する。場合によっては任意の構造が未割当であっても結果を探索する。
引数
いくつかの必須の引数と指定可能な引数がある。イメージファイルの名前は毎回指定されなければならない。:
- image [images]
- -iで指定した形式のディスク(パーティション)イメージを指定する。イメージが複数に分割されている場合は複数のファイル名を指定することができる。もし1つだけ指定されて、かつそれが連続する名前の先頭(例えばファイル名が'.001'のように終わっている)であった場合、後続のイメージは自動的に含まれる。
- 何を探しているかによって次のうちの1つを含めなければならない。:
- -d data_unit
- 指定された割当済のデータユニット(ブロック、クラスタなど)がもっているメタデータ構造を探索する。
- -n file
- 指定されたファイル名によって参照されているメタデータ構造を探索する。
- -p par_inode
- NTFSイメージから指定されたiノードを親としてもつ未割当のMFTエントリを探索する。'-l'および'-z'オプションと共に使用される。
- その他に指定可能な引数は以下の通りである。:
- -a
- 全てのメタデータ構造を探索する(データユニットの探索時にのみ動作する)。
- -f fstype
- ファイルシステムタイプを指定する。引数に"-f list"を指定するとサポートされているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -l
- '-p'を指定して見つかった各ファイルの詳細をリストする。これは'fls -l'と似ている。
- -i imgtype
- イメージファイルのタイプをrawのように指定する。引数に"-i list"を指定するとサポートされているタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -o imgoffset
- そのイメージ内でファイルシステムの先頭を指すセクタのオフセットを指定する。
- -b dev_sector_size
- デバイスのセクタサイズをバイト値で指定する。このオプション指定がない場合はイメージフォーマットで利用されている値か512が指定される。
- -v
- 詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
- -V
- バージョン情報を表示する。
- -z
- もし'-p -l'が与えられていれば、正しい時間のタイムゾーンを設定する。
例
# ifind -f fat -d 456 fat-img.dd
# ifind -f linux-ext2 -n "/etc/" linux-img.dd
# ifind -f ntfs -p 5 -l -z EST5EDT ntfs-img.dd
著者
Brian Carrier <carrier at sleuthkit dot org> ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。