A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
-bash/zsh: blkstat command not found #Debian apt-get install sleuthkit #Ubuntu apt-get install sleuthkit #Alpine apk add sleuthkit #Arch Linux pacman -S sleuthkit #Kali Linux apt-get install sleuthkit #Fedora dnf install sleuthkit #OS X brew install sleuthkit #Raspbian apt-get install sleuthkit #Docker docker run cmd.cat/blkstat blkstat
Sleuth Kit,也称为 TSK
,是基于 UNIX 的命令行文件和卷系统取证分析工具的集合。使用文件系统工具,您可以以非侵入方式检查可疑计算机的文件系统。由于这些工具不依赖操作系统来处理文件系统,因此将显示已删除和隐藏的内容。卷系统(媒体管理)工具使您可以检查磁盘和其他媒体的布局。您还可以恢复已删除的文件,获取存储在闲置空间中的信息,检查文件系统日志,查看磁盘或映像上的分区布局等。
但是非常重要的一点是,请注意 TSK
仅作用于当前文件系统。Sleuth Kit 支持 DOS 分区,BSD 分区(磁盘标签),Mac 分区,Sun slice(卷目录)和 GPT 磁盘。有了这些工具,您可以确定分区的位置并提取分区,以便可以使用文件系统分析工具对其进行分析。当前,TSK
支持多种文件系统,例如 NTFS、FAT、exFAT、HFS+、Ext3、Ext4、UFS 和 YAFFS2。
该软件包包含 The Sleuth Kit 中的命令行工具集。
blkstat 是 dstat 命令在 TSK 3.0.0 之前的版本。
blkstat [-f fstype ] [-i imgtype] [-o imgoffset] [-b dev_sector_size] [-vV] image [images] addr
-f fstype 指定文件系统类型。使用“ -f列表”列出支持的文件系统类型。如果未给出,则使用自动检测方法。 -i imgtype 标识图像文件的类型,例如原始文件。使用“ -i列表”列出支持的类型。如果未给出,则使用自动检测方法。 -o imgoffset 文件系统在映像中开始的扇区偏移量。 -b dev_sector_size 基础设备扇区的大小(以字节为单位)。如果未给出,则使用图像格式的值(如果存在)或假定为512字节。 -v 将调试语句的详细输出输出到stderr -V 显示版本 image [images] 要读取的磁盘或分区映像,其格式以“ -i”给出。如果将图像分为多个段,则可以指定多个图像文件名。如果仅给出一个图像文件,并且其名称是序列中的第一个图像文件(例如,以“ .001”结尾的文件),则后续的图像片段将自动包含在内。 addr 显示统计信息的地址。这是UNIX文件系统或FAT扇区的片段。
blkstat 命令显示有关特定数据单元的信息。 通常,这仅仅是分配状态。但是,在扩展文件系统上,块组还显示分配了块的块:
user@forensics:~$ blkstat ubnist1.casper-rw.gen3.aff 521 Fragment: 521 Allocated Group: 0
300 是块地址号:
blkstat –f ext2 myImage.img 300