名前
blkcat - ディスクイメージからファイルシステムのデータユニットに対応するコンテンツを表示する
書式
blkcat [-ahswvV] [-f fstype] [-u unit_size] [-i imgtype] [-o imgoffset] [-b dev_sector_size] image [images] unit_addr [num]
説明
blkcatはimageに対してunit_addrで指定されたユニットアドレスから、num個(デフォルトは1)のデータユニットを各種フォーマット(デフォルトはraw)で標準出力に表示する。blkcatはTSK 3.0.0より前のバージョンではdcatと命名されていた。
引数
- -a
- コンテンツをASCIIで表示する。
- -f fstype
- イメージを特定のファイルタイプとして指定する。'swap'が指定された場合、イメージはページサイズの4096バイト単位で表示される。'raw'が指定された場合、サイズの単位はデフォルトの512バイトである。'-u'オプションはデフォルトサイズを変更する場合に用いる。引数に"-f list"を指定するとサポートされているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -h
- コンテンツを16進数(hexdump)で表示する。
- -s
- イメージの統計情報(ユニットサイズ、ファイルブロックサイズ、フラグメント数)を表示する。
- -u unit_size
- イメージ(raw, blkls, swap)のデフォルトのデータユニットのサイズを指定する。
- -i imgtype
- イメージファイルのタイプをrawのように指定する。引数に"-i list"を指定するとサポートされているタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
- -o imgoffset
- そのイメージ内でファイルシステムの先頭を指すセクタのオフセットを指定する。
- -b dev_sector_size
- デバイスのセクタサイズをバイト値で指定する。このオプション指定がない場合はイメージフォーマットで利用されている値か512が指定される。
- -v
- 標準エラー出力STDERRに詳細情報を出力する。
- -V
- バージョン情報を表示する。
- -w
- コンテンツをHTMLのテーブルフォーマットで表示する。
- image [images]
- -iで指定した形式のディスク(パーティション)イメージを指定する。イメージが複数に分割されている場合は複数のファイル名を指定することができる。もし1つだけ指定されて、かつそれが連続する名前の先頭(例えばファイル名が'.001'のように終わっている)であった場合、後続のイメージは自動的に含まれる。
- unit_addr
- 表示するディスクユニットアドレスを指定する。このファイルシステムのユニットサイズは-sオプションで指定した値が用いられる。
- num
- 表示するデータユニット数を指定する。
blkcatの基本的な機能はddを用いて実現することもできる。与えられたユニットにどのiノードが割り当てられているか調べる場合はifind(1)コマンドを使用する。
例
# blkcat -hw image 264 4 または # blkcat -hw image 264
関連項目
ifind(1)
著者
Brian Carrier <carrier at sleuthkit dot org> ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。