описание:
Отсортируйте файлы в изображении по типу файлов.
sorter - это сценарий Perl, который анализирует файловую систему, чтобы упорядочить выделенные и нераспределенные файлы по типам файлов. Он запускает команду «файл» для каждого файла и организует файлы в соответствии с правилами в файле конфигурации. Несоответствующее расширение также может идентифицировать «скрытые» файлы. Вы также можете предоставить хэш-базу данных для заведомо хороших файлов, которые можно игнорировать, а известные плохие файлы должны предоставлять предупреждения.
По умолчанию программа использует файл конфигурации в каталоге, в котором установлен детективный комплект. Их можно отменить с помощью параметров времени выполнения. Для всех типов файловых систем существует стандартный файл конфигурации, а затем для данной операционной системы существует специальный файл конфигурации.
параметр:
必需的参数如下。 这将分析一个或多个图像,并将结果保存在“ -d”目录中或将结果列出到STDOUT(如果给出了“ -l”)。
-d dir
指定应写入所有文件的位置。 如果给出了“ -s”标志,则包括索引文件和子目录。 除非给出“ -l”列表标志,否则必须给出这个。
-l
将信息列出到STDOUT(永远不会写入文件)。 这对于使用“ netcat”的事件响应很有用。 如果使用“ -d”,则无法使用。
image [images]
要读取的磁盘或分区映像,其格式以“ -i”给出。 如果将图像分为多个段,则可以指定多个图像文件名。 如果仅给出一个图像文件,并且其名称是序列中的第一个图像文件(例如,以'.001'结尾的文件),则后续的图像段将自动包含在内。
选项如下:
-f fstype
指定图像的文件系统类型。 这与侦探工具包使用的类型相同。
-i imgtype
指定文件系统所在的图像类型。这与Sleuth Kit使用的图像类型相同。
-o imgoffset
指定从映像开头到文件系统开头的扇区偏移量。