名前
tsk_loaddb - ディスクイメージからメタデータを取り出してSQLiteデータベースに投入する
書式
tsk_loaddb [-ahkvV] [ -i imgtype ] [ -b dev_sector_size ] [ -i imgtype ] [ -d database ] image [images]
説明
tsk_loaddbはimageから取り出したディスク情報をsqliteデータベースに投入する。このデータベースは解析用に別のツールで使うことができる。デフォルトでは、データベースはイメージと同じディレクトリに保存され、ファイル名に".db"が追加される。または-dオプションで指定したデータベース名となる。 オプションは以下の通りである。
- -a
- 新規作成せずに既存のデータベースにイメージを追加する。-dオプションを指定する必要がある。
- "-d database"
- データベースのパスを指定する(デフォルトは同ディレクトリにイメージ名で作成する)。
- -v
- 詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
- -V
- バージョン情報を表示する。
- -k
- ブロックデータテーブルを作成しない。このテーブルは各ブロックと割り当てられているファイルをマップする。このオプションを指定するとプログラムの実行がその分早く終わる。
- -h
- 各ファイルのMD5ハッシュ値を計算してテーブル内に格納する。このオプションを指定すると実行は遅くなる。
- -i imgtype
- イメージファイルのフォーマットを指定する。引数に"-i list"を指定するとサポートされているタイプを表示する。指定がなければ自動検出する。
- -b dev_sector_size
- デバイスのセクタサイズをバイトで指定する。
- "image [images]"
- -iオプションで指定されたフォーマットのディスクイメージまたはパーティションイメージを指定する。イメージが複数のセグメントに分割されていればそれらのファイル名を指定してもよい。もしファイルが1つだけ指定されて、それが連続するファイルの先頭(例えばファイル名の最後が'.001')であれば、イメージのセグメントは自動的に読み込まれる。
例
イメージファイルimage.ddのデータからimage.dd.dbデータベースを作成する。
# tsk_loaddb ./image.dd
著者
Brian Carrier <carrier at sleuthkit dot org> ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。