使用DD创建MFT的副本并转换为CSV?
使用DD创建MFT的副本并转换为CSV?
提问于 2018-11-30 09:54:23
我正在寻找一种方法,以保存NTFS文件系统MFT的副本,以分析最后访问文件的日期和文件的完整列表。我已经考虑过使用DD来避免安装单元,而不是修改最后一次访问MFT的日期(这需要知道磁盘最后一次使用的时间)。
如果可能的话,我也希望看到已删除的文件列表,或者通过命令过滤它。
有可能这样做吗?这种方法能更实用地调查最后一次访问的日期吗?还是用软件对磁盘进行完整的复制并进行分析比较好呢?
回答 2
Ask Ubuntu用户
回答已采纳
发布于 2018-11-30 10:41:58
一个快速的谷歌搜索可以得出如下结论:
您将需要一个sleuthkit工具和analyzeMFT pip模块。
sudo apt install sleuthkit
sudo pip install analyzeMFT # install globally这将给我们mmls (并不是真正需要的)和icat工具。
假设/dev/sdx是您的磁盘。但是您可以对命令进行调整,以便在图像上运行此命令。
sudo mmls /dev/sdx,这将为您提供NTFS分区的偏移量,例如1107968。
然后,
sudo icat -o 1107968 /dev/sdx 0 > mft.raw然后,
sudo analyzeMFT.py -f mft.raw -o mftanalyzed.csv如果您有NTFS分区的磁盘映像,这就足够了。
icat -o 0 image.raw 0 > mft.raw
analyzeMFT.py -f mft.raw -o mftanalyzed.csv我猜
Ask Ubuntu用户
发布于 2018-12-08 21:47:26
有可能这样做吗?
当然,您可以使用RecuperaBit来完成这个任务。作为免责声明,我将澄清我是开发商。
让它扫描驱动器或磁盘映像之后,输入recoverable以获得分区列表,包括可以重构的已删除分区。假设您的分区有id 0,那么您可以发出:
csv 0 results.csv用于CSV文件,或:
bodyfile 0 results.body对于与车身档案兼容的mactime。
页面原文内容由Ask Ubuntu提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://askubuntu.com/questions/1097368
复制相关文章
相似问题
腾讯云开发者
