fte(FILETIME Extractor)はファイルシステム管理下のタイムスタンプをはじめ様々な情報を取得するツールです。
特徴
- 秒未満の値も含め情報を丸めずに表示します。
- 取得したタイムスタンプから元の型を推測し表示します。
- NTFSの内部ファイル($MFT, $ObjID)やフォルダ($INDX_ALLOCATION属性)をパースします。
- ネットワークドライブ上の指定ファイルのタイムスタンプを可能な範囲、精度で表示します。
ダウンロード
fte_1.8.2.zip (MD5: 7fb35b5e1d6b72304b62fa4dacd6962c)
fte_1.8.1.zip (MD5: bc815fbb87d8b4ced19a5e6603493916)
fte_1.8.zip (MD5: e4688bdc1ed244224619354760f688fb)
使い方
こちらを参照してください。
ライセンス
個人、商用を問わず自由に利用することができます。本ツールの利用により生じた問題については責任を負いかねます。ソースコードは希望の方にお渡ししますので、お問合せください。
更新履歴
2015/01/24
以下の機能追加、修正をしてバージョン1.8.2としました。
- MFTのFILEレコードをファイルとして処理(File > Open > MFT)
- INDXレコードをファイルとして処理(File > Open > INDX)
- FILEレコードのエラー処理強化
- Out of memory回避のため利用メモリ上限を変更
ファイルを処理する機能を追加したことにより、カービングで抽出したFILEレコード、INDXレコードのパースが可能になりました。また、十分にメモリを搭載したPCであれば100万規模のレコード数も処理できるようにしています。メモリ管理まわりは多少見直しましたが、パースしたレコード数が多くなると大量にメモリを消費しますので注意してください。
2012/09/02
未割当領域内に残るINDXレコードに対する判定条件が不十分だったため、バージョン1.8.1で厳密にしました。
2012/08/09
バージョン1.8をリリースしました。バージョン1.7から以下を更新しました。
- $ObjIDファイルの未使用領域のパース
- $INDEX_ALLOCATION属性のパース機能(INDXタブ)の追加
- タイムスタンプ型の推測処理の追加(MFTタブ/INDXタブ)
2012/07/02
バージョン1.7をリリースしました。バージョン1.6から以下を更新しました。
- インターフェースの変更(タブ化)
- Object IDのパース機能追加
- NTFSのfixup値追加
- NTFSのタイムスタンプの比較結果を追加
- MFTの4096バイトレコードに対応
- Data Runパース不具合の修正
2011/07/10
バージョン1.6をリリースしました。NTFSをパースする機能を追加しています。
2011/05/15
バグ修正、レイアウト変更、ドラッグ&ドロップ投入に対応してバージョン1.5.1としました。
2011/05/10
GUI版にリライトしてバージョン1.5をリリースしました。