blkstat 命令详解

| 选择喜欢的代码风格  

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

blkstat 命令安装:


-bash/zsh: blkstat command not found

#Debian
apt-get install sleuthkit

#Ubuntu
apt-get install sleuthkit

#Alpine
apk add sleuthkit

#Arch Linux
pacman -S sleuthkit

#Kali Linux
apt-get install sleuthkit

#Fedora
dnf install sleuthkit

#OS X
brew install sleuthkit

#Raspbian
apt-get install sleuthkit

#Docker
docker run cmd.cat/blkstat blkstat

blkstat 命令补充说明:


Sleuth Kit,也称为 TSK,是基于 UNIX 的命令行文件和卷系统取证分析工具的集合。使用文件系统工具,您可以以非侵入方式检查可疑计算机的文件系统。由于这些工具不依赖操作系统来处理文件系统,因此将显示已删除和隐藏的内容。卷系统(媒体管理)工具使您可以检查磁盘和其他媒体的布局。您还可以恢复已删除的文件,获取存储在闲置空间中的信息,检查文件系统日志,查看磁盘或映像上的分区布局等。

但是非常重要的一点是,请注意 TSK 仅作用于当前文件系统。Sleuth Kit 支持 DOS 分区,BSD 分区(磁盘标签),Mac 分区,Sun slice(卷目录)和 GPT 磁盘。有了这些工具,您可以确定分区的位置并提取分区,以便可以使用文件系统分析工具对其进行分析。当前,TSK 支持多种文件系统,例如 NTFS、FAT、exFAT、HFS+、Ext3、Ext4、UFS 和 YAFFS2。

该软件包包含 The Sleuth Kit 中的命令行工具集。

blkstat 是 dstat 命令在 TSK 3.0.0 之前的版本。

blkstat 命令语法:


blkstat [-f fstype ] [-i imgtype] [-o imgoffset] [-b dev_sector_size] [-vV] image [images] addr

blkstat 命令选项:


-f fstype
指定文件系统类型。使用“ -f列表”列出支持的文件系统类型。如果未给出,则使用自动检测方法。

-i imgtype
标识图像文件的类型,例如原始文件。使用“ -i列表”列出支持的类型。如果未给出,则使用自动检测方法。

-o imgoffset
文件系统在映像中开始的扇区偏移量。

-b dev_sector_size
基础设备扇区的大小(以字节为单位)。如果未给出,则使用图像格式的值(如果存在)或假定为512字节。

-v
将调试语句的详细输出输出到stderr

-V
显示版本

image [images]
要读取的磁盘或分区映像,其格式以“ -i”给出。如果将图像分为多个段,则可以指定多个图像文件名。如果仅给出一个图像文件,并且其名称是序列中的第一个图像文件(例如,以“ .001”结尾的文件),则后续的图像片段将自动包含在内。

addr
显示统计信息的地址。这是UNIX文件系统或FAT扇区的片段。

blkstat 命令实例:


blkstat 命令显示有关特定数据单元的信息。 通常,这仅仅是分配状态。但是,在扩展文件系统上,块组还显示分配了块的块:

user@forensics:~$  blkstat ubnist1.casper-rw.gen3.aff 521

Fragment: 521
Allocated
Group: 0 

300 是块地址号:

blkstat –f ext2 myImage.img 300

blkstat 命令扩展阅读:




blkstat 命令评论