Некоторые программы TSK объединяют данные из разных категорий для получения вывода, отсортированного в другом порядке. Первая программа, mactime, получает временные данные от fis и ils и строит по ним временные диаграммы файловых операций. Каждая строка вывода соответствует обращению к файлу или его изменению (см. главу 8). Далее приводится пример временной диаграммы (данные отформатированы по ширине страницы):

Wed Aug 11 2004 19:31:58 34528 .a. /system32/ntio804.sys

35392 .a. /system32/ntio412.sys

[...]

Wed Aug 11 2004 19:33:27 2048 mac /bootstat.dat

1024 mac /system32/config/default.LOG 1024 mac /system32/config/software.L0G Wed Aug 11 2004 19:33:28 262144 ma. /system32/config/SECURITY

262144 ma. /system32/config/default

Категория прикладных данных | Криминалистический анализ файловых систем | Программы поиска


Криминалистический анализ файловых систем



Новости за месяц

  • Апрель
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31