description:
Sort the files in the image according to the file type.
sorter is a Perl script that analyzes the file system to organize allocated and unallocated files by file type. It runs the "file" command on each file and organizes the files according to the rules in the configuration file. Mismatched extensions can also identify "hidden" files. You can also provide a hash database for known good files, which can be ignored, and known bad files should provide alerts.
By default, the program uses the configuration file in the directory where the detective kit is installed. Those can be overruled by runtime options. For all file system types, there is a standard configuration file, and then for a given operating system, there is a specific configuration file.
parameter:
必需的参数如下。 这将分析一个或多个图像,并将结果保存在“ -d”目录中或将结果列出到STDOUT(如果给出了“ -l”)。
-d dir
指定应写入所有文件的位置。 如果给出了“ -s”标志,则包括索引文件和子目录。 除非给出“ -l”列表标志,否则必须给出这个。
-l
将信息列出到STDOUT(永远不会写入文件)。 这对于使用“ netcat”的事件响应很有用。 如果使用“ -d”,则无法使用。
image [images]
要读取的磁盘或分区映像,其格式以“ -i”给出。 如果将图像分为多个段,则可以指定多个图像文件名。 如果仅给出一个图像文件,并且其名称是序列中的第一个图像文件(例如,以'.001'结尾的文件),则后续的图像段将自动包含在内。
选项如下:
-f fstype
指定图像的文件系统类型。 这与侦探工具包使用的类型相同。
-i imgtype
指定文件系统所在的图像类型。这与Sleuth Kit使用的图像类型相同。
-o imgoffset
指定从映像开头到文件系统开头的扇区偏移量。