名前
tsk_comparedir - イメージやローカルデバイス内のディレクトリのコンテンツを比較する
書式
tsk_comparedir [-vV] [-n start_inum ] [ -f fstype ] [ -i imgtype ] [ -b dev_sector_size] [-o sector_offset ] image [images] comparison_directory
説明
tsk_comparedir はimageのコンテンツとcomparison_directoryのコンテンツを比較する。このコマンドはrootkitの検知やテスト時に有用である。rootkitはローカルのディレクトリとそのrawデバイスでコンテンツを比較することにより検知できる。一般的なrootkitは直接rawデバイスを参照した際にデータを隠ぺいしないためである。 オプションは以下の通りである。
- -o sector_offset
- 比較対象のイメージやデバイスのパーティションに対するセクタのオフセットを指定する。
- -n start_inum
- 比較開始するイメージ内のディレクトリのiノード番号を指定する。
- -v
- 詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
- -V
- バージョン情報を表示する。
- -f fstype
- ファイルシステムを指定する。引数に"-f list"を指定するとサポートしているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -i imgtype
- イメージファイルのフォーマットを指定する。引数に"-i list"を指定するとサポートされているタイプを表示する。指定がなければ自動検出する。
- -b dev_sector_size
- デバイスのセクタサイズをバイトで指定する。指定がなければ自動検出する。
- "image [images]"
- -iオプションで指定されたフォーマットのディスクイメージまたはパーティションイメージを指定する。イメージが複数のセグメントに分割されていればそれらのファイル名を指定してもよい。もしファイルが1つだけ指定されて、それが連続するファイルの先頭(例えばファイル名の最後が'.001')であれば、イメージのセグメントは自動的に読み込まれる。
例
イメージファイルimage.dd内のディレクトリとdirectoryを比較する。
# tsk_comparedir ./image.dd ./directory
著者
Brian Carrier <carrier at sleuthkit dot org> ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。