名前
ils - iノード情報を表示する
書式
ils [-emOpvV] [-f fstype ] [-s seconds ] [-i imgtype ] [-o imgoffset ] [-b dev_sector_size ] image [images] [start-stop]
ils [-aAlLvVzZ] [-f fstype ] [-s seconds ] [-i imgtype ] [-o imgoffset ] image [images] [start-stop]
説明
ilsはimage(s)を開いてiノード情報を表示する。デフォルトでは、ilsは削除されたファイルのiノードのみを表示する。
オプション:
- -e
- ファイルシステムの全てのiノードを表示する。
- -f fstype
- ファイルシステムタイプを指定する。引数に"-f list"を指定するとサポートされているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -s seconds
- オリジナルシステムとの誤差秒。例えば、オリジナルのシステムが100秒遅ければ、この値を-100にする。
- -m
- mactimeプログラムが読み込むフォーマットでiノードの詳細を表示する(TCTのils2macスクリプトの置き換え)。
- -O
- まだ開いているか実行している削除済ファイルのiノードのみを表示する。このオプションは-aLと同じである(下の コントロール オプションも参照)。 (これは以前-oオプションであった)
- -p
- 孤立したiノードを表示する(ファイル名を持たない未割当のノード)。
- -r
- (デフォルト) 削除されたファイルのiノードのみを表示する。このオプションは-LZと同じである(下の コントロール オプションも参照)。
- -i imgtype
- イメージファイルのタイプをrawのように指定する。引数に"-i list"を指定するとサポートされているタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -o imgoffset
- そのイメージ内でファイルシステムの先頭を指すセクタのオフセットを指定する。
- -b dev_sector_size
- デバイスのセクタサイズをバイト値で指定する。このオプション指定がない場合はイメージフォーマットで利用されている値か512が指定される。
- -v
- 詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
- -V
- バージョン情報を表示する。
- image [images]
- -iで指定した形式のディスク(パーティション)イメージを指定する。イメージが複数に分割されている場合は複数のファイル名を指定することができる。もし1つだけ指定されて、かつそれが連続する名前の先頭(例えばファイル名が'.001'のように終わっている)であった場合、後続のイメージは自動的に含まれる。
- start-stop
- 指定されたiノード番号またはその範囲を調べる。
コントロールオプション:
- -a
- 割当済のiノードのみを表示する: これらはファイルシステム上に少なくとも1つのディレクトリエントリとともにファイルに属する。削除されたファイルであればまだ開いているか実行中のファイルである。
- -A
- 未割当のiノードのみを表示する: これらはすでに存在しないファイルに属する。
- -l
- 少なくとも1つ以上のハードリンクを持つiノードのみを表示する。これらはファイルシステムに1つ以上のディレクトリエントリを持つファイルが属する。
- -L
- ハードリンクを1つも持たないiノードのみを表示する。これらは既に存在しないが、まだ開いているか実行している削除ファイルが属する。
- -z
- 変更時刻が0となっているステータスのiノードのみを表示する。おそらく、これらのiノードは使われていない。
- -Z
- 変更時刻が0でないステータスのiノードのみを表示する。おそらく、これらはまだ存在するか、過去に存在していたファイルが属する。
出力は時間フォーマットに従う。出力はデータ元を記述する2行のヘッダ情報ではじまり、その後に残りの出力情報を示す1行のヘッダが続く。ヘッダ情報は以下の通りである。
- st_ino
- iノード番号
- st_alloc
- 割当ステータス: `a'が割当済のiノード, `f'が未割当のiノード。
- st_uid
- 所有者のユーザID
- st_gid
- 所有グループのグループID
- st_mtime
- ファイルの最終修正時間
- st_atime
- ファイルの最終アクセス時間
- st_ctime
- iノードステータスの変更時間
- st_dtime
- ファイルの削除時間(Linuxのみ)
- st_mode
- ファイルタイプとパーミッション(8進数)
- st_nlink
- ハードリンクの数
- st_size
- ファイルサイズ(バイト数)
- st_block0,st_block1
- ダイレクトブロックアドレスリストの最初の2エントリ
関連項目
mactime(1)
ライセンス
このソフトウェアはIBM Public Licenseに従い配布される。
履歴
The Coroners Toolkit(TCT)のバージョン 1.0で初めて登場した。
著者
Wietse Venema
IBM T.J. Watson Research
P.O. Box 704
Yorktown Heights, NY 10598, USA
このバージョンはBrian Carrier (carrier at sleuthkit dot org)によってメンテナンスされている。
ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。