tsk_gettimes

名前

tsk_gettimes - ディスクイメージのMAC timeを収集してbodyファイルを作成する

書式

tsk_gettimes [-vV] [ -f fstype ] [ -i imgtype ] [ -b dev_sector_size ] [ -z zone ] [ -s seconds ] image [images]

説明

tsk_gettimesはディスクイメージ内の各ファイルシステムを調べてMACtime bodyフォーマットのデータを出力する(各ファイルシステム上で'fls -m'を実行することと同じ)。出力はファイルのアクティビティからタイムラインを作成するmactimeコマンドの入力に使われる。データは標準出力STDOUTに出力され、ファイルにリダイレクトすることもできる。 オプションは以下の通りである。

-v
詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
-V
バージョン情報を表示する。
-f fstype
ファイルシステムを指定する。引数に"-f list"を指定するとサポートしているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
-i imgtype
イメージファイルのフォーマットを指定する。引数に"-i list"を指定するとサポートされているタイプを表示する。指定がなければ自動検出する。
-b dev_sector_size
デバイスのセクタサイズをバイトで指定する。指定がなければ自動検出する。
-s seconds
オリジナルのシステム時刻(秒)の誤差を指定する。例えば、オリジナルのシステムで100秒遅れていれば、ここでは-100と指定する。
-z zone
オリジナルのタイムゾーンをASCIIコードで指定する。例えばESTやGMTなどである(訳注: 日本時間の場合はJST)。これらは使っているOSで定義されていなければならない。
"image [images]"
-iオプションで指定されたフォーマットのディスクイメージまたはパーティションイメージを指定する。イメージが複数のセグメントに分割されていればそれらのファイル名を指定してもよい。もしファイルが1つだけ指定されて、それが連続するファイルの先頭(例えばファイル名の最後が'.001')であれば、イメージのセグメントは自動的に読み込まれる。

イメージファイルimage.ddのデータを収集する。
# tsk_gettimes ./image.dd > body.txt

著者

Brian Carrier <carrier at sleuthkit dot org> ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。