К категории имен файлов относятся данные, связывающие имя файла с записью метаданных. В большинстве файловых систем имя отделяется от метаданных и хранится в блоках данных, выделенных каталогам. В пакет TSK входят две программы, работающие на уровне имен файлов; имена обеих программ начинаются с префикса f.

Программа fis перечисляет имена файлов в заданном каталоге. Она получает адрес метаданных каталога в качестве аргумента и выводит списки как выделенных, так и свободных имен. С ключом -г программа выполняет рекурсивную обработку подкаталогов, а с ключом -I проводит поиск в метаданных и выводит временные штампы с именами файлов. Соответствующие примеры встречались во всех предыдущих главах. Например, в следующем образе Ext3 индексный узел 69457 представляет каталог, содержащий удаленный файл two.dat:

# fis -f linux-ext3 -a ext3.dd 69457

г/г 69458: acbdefg.txt

г/г * 69459: file two.dat

d/d 69460: subdirl

г/г 69461: RSTUVWXY

Чтобы знать, какое имя файла соответствует некоторому адресу метаданных, можно воспользоваться программой ffind. Пример:

# ffind -f linux-ext3 ext3.dd 69458 /dirl/abcdefg.txt

Категория метаданных | Криминалистический анализ файловых систем | Категория прикладных данных


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс