tsk_recover

名前

tsk_recover - イメージ内からローカルディレクトリにファイルをエクスポートする

書式

tsk_recover [-vVae] [ -f fstype ] [ -i imgtype ] [ -b dev_sector_size ] [ -o sector_offset ] [ -d dir_inum ] image [images] output_dir

説明

tsk_recoverimage.内からファイルを復元してoutput_dirに書き出す。デフォルトでは未割当状態のファイルだけを対象とする。フラグを付けると全てのファイルをエクスポートする。 オプションは以下の通りである。

-v
標準エラー出力STDERRに詳細情報を出力する。
-V
バージョン情報を表示する。
-a
割当状態のファイルだけを復元する。
-e
全て(割当および未割当状態)のファイルを復元する。
-f fstype
ファイルシステムを指定する。引数に"-f list"を指定するとサポートしているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
-i imgtype
イメージファイルのフォーマットを指定する。引数に"-i list"を指定するとサポートされているタイプを表示する。指定がなければ自動検出する。
-b dev_sector_size
デバイスのセクタサイズをバイトで指定する。指定がなければ自動検出する。
-o sector_offset
復元するボリュームのセクタオフセットを指定する(指定したボリュームだけから復元する)。指定がなければイメージ内の全てのボリュームから復元し、それぞれ別のフォルダに保存する。
-d dir_inum
復元するディレクトリのiノード番号を指定する(-oオプションで特定のパーティションを指定するか、指定しない場合はボリュームシステムであってはならない)
"image [images]"
-iオプションで指定されたフォーマットのディスクイメージまたはパーティションイメージを指定する。イメージが複数のセグメントに分割されていればそれらのファイル名を指定してもよい。もしファイルが1つだけ指定されて、それが連続するファイルの先頭(例えばファイル名の最後が'.001')であれば、イメージのセグメントは自動的に読み込まれる。
output_dir
復元したファイルを保存するディレクトリを指定する。

イメージファイルimage.ddから未割当状態のファイルだけを復元し、recoveredディレクトリに保存する。
# tsk_recover ./image.dd ./recovered

著者

Brian Carrier <carrier at sleuthkit dot org> ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。