名前
tsk_recover - イメージ内からローカルディレクトリにファイルをエクスポートする
書式
tsk_recover [-vVae] [ -f fstype ] [ -i imgtype ] [ -b dev_sector_size ] [ -o sector_offset ] [ -d dir_inum ] image [images] output_dir
説明
tsk_recoverはimage.内からファイルを復元してoutput_dirに書き出す。デフォルトでは未割当状態のファイルだけを対象とする。フラグを付けると全てのファイルをエクスポートする。 オプションは以下の通りである。
- -v
- 標準エラー出力STDERRに詳細情報を出力する。
- -V
- バージョン情報を表示する。
- -a
- 割当状態のファイルだけを復元する。
- -e
- 全て(割当および未割当状態)のファイルを復元する。
- -f fstype
- ファイルシステムを指定する。引数に"-f list"を指定するとサポートしているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -i imgtype
- イメージファイルのフォーマットを指定する。引数に"-i list"を指定するとサポートされているタイプを表示する。指定がなければ自動検出する。
- -b dev_sector_size
- デバイスのセクタサイズをバイトで指定する。指定がなければ自動検出する。
- -o sector_offset
- 復元するボリュームのセクタオフセットを指定する(指定したボリュームだけから復元する)。指定がなければイメージ内の全てのボリュームから復元し、それぞれ別のフォルダに保存する。
- -d dir_inum
- 復元するディレクトリのiノード番号を指定する(-oオプションで特定のパーティションを指定するか、指定しない場合はボリュームシステムであってはならない)
- "image [images]"
- -iオプションで指定されたフォーマットのディスクイメージまたはパーティションイメージを指定する。イメージが複数のセグメントに分割されていればそれらのファイル名を指定してもよい。もしファイルが1つだけ指定されて、それが連続するファイルの先頭(例えばファイル名の最後が'.001')であれば、イメージのセグメントは自動的に読み込まれる。
- output_dir
- 復元したファイルを保存するディレクトリを指定する。
例
イメージファイルimage.ddから未割当状態のファイルだけを復元し、recoveredディレクトリに保存する。
# tsk_recover ./image.dd ./recovered
著者
Brian Carrier <carrier at sleuthkit dot org> ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。