名前
jcat - ファイルシステムジャーナルのブロックのコンテンツを表示する
書式
jcat [-f fstype ] [-vV] [-i imgtype] [-o imgoffset] [-b dev_sector_size] image [images] ] [ inode ] jblk
説明
jcatはファイルシステムジャーナルのジャーナルブロックのコンテンツを表示する。ジャーナルのiノードアドレスは指定されるかデフォルトの場所が使われる。ブロックアドレスはジャーナルブロックのアドレスであり、ファイルシステムのブロックではない。出力は標準出力STDOUTに与えられる。
引数
- -f ftype
- ファイルシステムタイプを指定する。引数に"-f list"を指定するとサポートされているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -i imgtype
- イメージファイルのタイプをrawのように指定する。引数に"-i list"を指定するとサポートされているタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -o imgoffset
- そのイメージ内でファイルシステムの先頭を指すセクタのオフセットを指定する。
- -b dev_sector_size
- デバイスのセクタサイズをバイト値で指定する。このオプション指定がない場合はイメージフォーマットで利用されている値か512が指定される。
- -V
- バージョン情報を表示する。
- -v
- 詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
- image
- -iで指定した形式のディスク(パーティション)イメージを指定する。イメージが複数に分割されている場合は複数のファイル名を指定することができる。もし1つだけ指定されて、かつそれが連続する名前の先頭(例えばファイル名が'.001'のように終わっている)であった場合、後続のイメージは自動的に含まれる。
- [inode]
- ファイルシステムジャーナルのあるiノード番号を指定する。
- jblk
- 表示するジャーナルブロックを指定する。
例
jcat -f linux-ext3 img.dd 34 | xxd
著者
Brian Carrier <carrier at sleuthkit dot org>
ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。