名前
sigfind - ファイルからバイナリシグネチャを検索する
書式
sigfind [-b bsize ] [-o offset ] [-t template ] [-lV] [ hex_signature ] file
説明
sigfindはファイル全体を検索し、与えられたオフセットから16進数指定したシグネチャを探す。これはブートセクタ、スーパーブロック、パーティションテーブルの消失を復元するために使われる。
引数
- -b bsize
- 検索するためのブロックサイズを指定する。デフォルトは512であり、この値は512の倍数でなければならない。
- -o offset
- シグネチャが存在しているはずのブロック上のオフセット値を指定する。デフォルトは0である。
- -t template
- シグネチャの値やオフセットを定義したテンプレート名を指定する。サポートされたテンプレートのリストを得るためにはオプションを指定しないで実行する。
- -l
- シグネチャはリトルエンディアンオーダで格納されていて、逆順に実行される。
- -V
- バージョン情報を表示する。
- [hex_signature]
- 検索するバイナリシグネチャを指定する。これは16進数のフォーマットで与えなければならない。-tオプションが使われていなければこの引数が存在する必要がある。
- file
- 任意のrawデータ。
例
sigfind -o 510 -l AA55 disk.dd
sigfind -t fat disk.dd
著者
Brian Carrier <carrier at sleuthkit dot org>
ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。