デジタルフォレンジック Sleuth Kit sleuthkitのインストール
スポンサーリンク
このドキュメントの内容は、以下の通りです。
Sleuth Kit は、オープンソースのファイルシステムフォレンジックツールです。- http://www.sleuthkit.org/sleuthkit/index.php
- https://github.com/sleuthkit/sleuthkit/
- http://sourceforge.jp/projects/sfnet_sleuthkit/releases/
FreeBSD に sleuthkit をインストール
インストール
cd /usr/ports/sysutils/sleuthkit sudo make install clean
portinstallコマンドでインストールする場合
sudo portinstall /usr/ports/sysutils/sleuthkit
portmasterコマンドでインストールする場合
sudo portmaster -y -d /usr/ports/sysutils/sleuthkit
参考サイト
インストールされるコマンド
/usr/local/bin/blkcalc /usr/local/bin/blkcat /usr/local/bin/blkls /usr/local/bin/blkstat /usr/local/bin/ffind /usr/local/bin/fls /usr/local/bin/fsstat /usr/local/bin/hfind /usr/local/bin/icat /usr/local/bin/ifind /usr/local/bin/ils /usr/local/bin/img_cat /usr/local/bin/img_stat /usr/local/bin/istat /usr/local/bin/jcat /usr/local/bin/jls /usr/local/bin/mactime /usr/local/bin/mmcat /usr/local/bin/mmls /usr/local/bin/mmstat /usr/local/bin/sigfind /usr/local/bin/sorter /usr/local/bin/srch_strings /usr/local/bin/tsk_comparedir /usr/local/bin/tsk_gettimes /usr/local/bin/tsk_loaddb /usr/local/bin/tsk_recover
使い方
% fsstat drive.img FILE SYSTEM INFORMATION -------------------------------------------- File System Type: NTFS Volume Serial Number: 777E77597E77214B OEM Name: NTFS Volume Name: FS Version: Windows XP METADATA INFORMATION -------------------------------------------- First Cluster of MFT: 1365 First Cluster of MFT Mirror: 2 Size of MFT Entries: 1024 bytes Size of Index Records: 4096 bytes Range: 0 - 256 Root Directory: 5 CONTENT INFORMATION -------------------------------------------- Sector Size: 512 Cluster Size: 4096 Total Cluster Range: 0 - 4094 Total Sector Range: 0 - 32766 $AttrDef Attribute Values: $STANDARD_INFORMATION (16) Size: 48-72 Flags: Resident $ATTRIBUTE_LIST (32) Size: No Limit Flags: Non-resident $FILE_NAME (48) Size: 68-578 Flags: Resident,Index $OBJECT_ID (64) Size: 0-256 Flags: Resident $SECURITY_DESCRIPTOR (80) Size: No Limit Flags: Non-resident $VOLUME_NAME (96) Size: 2-256 Flags: Resident $VOLUME_INFORMATION (112) Size: 12-12 Flags: Resident $DATA (128) Size: No Limit Flags: $INDEX_ROOT (144) Size: No Limit Flags: Resident $INDEX_ALLOCATION (160) Size: No Limit Flags: Non-resident $BITMAP (176) Size: No Limit Flags: Non-resident $REPARSE_POINT (192) Size: 0-16384 Flags: Non-resident $EA_INFORMATION (208) Size: 8-8 Flags: Resident $EA (224) Size: 0-65536 Flags: $LOGGED_UTILITY_STREAM (256) Size: 0-65536 Flags: Non-resident
tsk_recover は、ローカルディレクトリにイメージからファイルをエクスポートします。
/usr/local/bin/tsk_recover drive.img ./output
消されてるファイルだけを表示する。
% fls -d ./drive.img -/r * 33-128-1: foo00.jpg -/r * 33-128-2: foo01.jpg -/r * 33-128-3: foo02.jpg
イメージファイル内のファイルを inode 番号指定で、cat する。
icat drive.img 33-128-1
参照しているページ (サイト内): [2012-12-05-1]
スポンサーリンク
スポンサーリンク
いつもシェア、ありがとうございます!
もっと情報を探しませんか?
関連記事
最近の記事
- パナソニック ジェットウォッシャードルツ EW-DJ61-Wのホースの修理
- LinuxセキュリティモジュールIntegrity Policy Enforcement
- アマゾンのEcho Show 5を買ったのでレビューします
- アマゾンのサイバーマンデーはAlexa Echo Show 5が安い
- Android スマートフォン OnePlus 7T と OnePlus 7の違い
- Android スマートフォン OnePlus 7 をAndroid10にアップデートしてみた
- クレジットカードのバーチャルカードの比較のまとめ
- 活動量計 Xiaomi Mi Band 4を買ってみたのでレビュー
- Android スマートフォン OnePlus 7 のレビュー
- AliExpressでスマートフォンを買い物してみた
- パソコンのホコリ対策 レンジフードフィルターと養生テープ
- 80PLUS GOLDのPC電源ユニットAntec NeoEco 750 Goldのレビュー
- イギリスの付加価値税 VAT は払い戻しを受けられる
- イギリスのロンドンでスーツケースなど荷物を預けられる場所は
- イギリスのロンドンで地下鉄やバスに乗るならオイスターカードを使おう
- イギリスのヒースロー空港からロンドン市内への行き方
- 航空便でほかの航空会社に乗り継ぎがある場合のオンラインチェックイン
- SFC会員がANA便ではなくベトナム航空のコードシェアを試して解ったこと
- ベトナムの入国審査でeチケットの掲示が必要だった話
- シアトルの交通ICカードはオルカカード(Orca)です
人気のページ
- Windows7 IME 辞書ツールで単語の登録に失敗しました
- C言語 popen()でコマンドを実行して出力を読み込む
- Windows7で休止状態にする方法
- CentOS MySQLの起動、停止、再起動
- loggerコマンドでsyslogにエラーを出力する方法
- パソコンパーツの買取をしてくれる店のまとめ
- Java Mapの使い方 get(),put(),remove(),size(),clear()
- 楽天のRポイントカードを作ってみた
- iPhone 5 から iPhone 6 に乗り換えたのでレビュー
- netstatコマンドのステータスの意味
スポンサーリンク
過去ログ
2020 : 01 02 03 04 05 06 07 08 09 10 11 122019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12