ils

名前

ils - iノード情報を表示する

書式

ils [-emOpvV] [-f fstype ] [-s seconds ] [-i imgtype ] [-o imgoffset ] [-b dev_sector_size ] image [images] [start-stop] ils [-aAlLvVzZ] [-f fstype ] [-s seconds ] [-i imgtype ] [-o imgoffset ] image [images] [start-stop]

説明

ilsimage(s)を開いてiノード情報を表示する。デフォルトでは、ilsは削除されたファイルのiノードのみを表示する。 オプション:
-e
ファイルシステムの全てのiノードを表示する。
-f fstype
ファイルシステムタイプを指定する。引数に"-f list"を指定するとサポートされているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
-s seconds
オリジナルシステムとの誤差秒。例えば、オリジナルのシステムが100秒遅ければ、この値を-100にする。
-m
mactimeプログラムが読み込むフォーマットでiノードの詳細を表示する(TCTのils2macスクリプトの置き換え)。
-O
まだ開いているか実行している削除済ファイルのiノードのみを表示する。このオプションは-aLと同じである(下の コントロール オプションも参照)。 (これは以前-oオプションであった)
-p
孤立したiノードを表示する(ファイル名を持たない未割当のノード)。
-r
(デフォルト) 削除されたファイルのiノードのみを表示する。このオプションは-LZと同じである(下の コントロール オプションも参照)。
-i imgtype
イメージファイルのタイプをrawのように指定する。引数に"-i list"を指定するとサポートされているタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
-o imgoffset
そのイメージ内でファイルシステムの先頭を指すセクタのオフセットを指定する。
-b dev_sector_size
デバイスのセクタサイズをバイト値で指定する。このオプション指定がない場合はイメージフォーマットで利用されている値か512が指定される。
-v
詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
-V
バージョン情報を表示する。
image [images]
-iで指定した形式のディスク(パーティション)イメージを指定する。イメージが複数に分割されている場合は複数のファイル名を指定することができる。もし1つだけ指定されて、かつそれが連続する名前の先頭(例えばファイル名が'.001'のように終わっている)であった場合、後続のイメージは自動的に含まれる。
start-stop
指定されたiノード番号またはその範囲を調べる。
コントロールオプション:
-a
割当済のiノードのみを表示する: これらはファイルシステム上に少なくとも1つのディレクトリエントリとともにファイルに属する。削除されたファイルであればまだ開いているか実行中のファイルである。
-A
未割当のiノードのみを表示する: これらはすでに存在しないファイルに属する。
-l
少なくとも1つ以上のハードリンクを持つiノードのみを表示する。これらはファイルシステムに1つ以上のディレクトリエントリを持つファイルが属する。
-L
ハードリンクを1つも持たないiノードのみを表示する。これらは既に存在しないが、まだ開いているか実行している削除ファイルが属する。
-z
変更時刻が0となっているステータスのiノードのみを表示する。おそらく、これらのiノードは使われていない。
-Z
変更時刻が0でないステータスのiノードのみを表示する。おそらく、これらはまだ存在するか、過去に存在していたファイルが属する。
出力は時間フォーマットに従う。出力はデータ元を記述する2行のヘッダ情報ではじまり、その後に残りの出力情報を示す1行のヘッダが続く。ヘッダ情報は以下の通りである。
st_ino
iノード番号
st_alloc
割当ステータス: `a'が割当済のiノード, `f'が未割当のiノード。
st_uid
所有者のユーザID
st_gid
所有グループのグループID
st_mtime
ファイルの最終修正時間
st_atime
ファイルの最終アクセス時間
st_ctime
iノードステータスの変更時間
st_dtime
ファイルの削除時間(Linuxのみ)
st_mode
ファイルタイプとパーミッション(8進数)
st_nlink
ハードリンクの数
st_size
ファイルサイズ(バイト数)
st_block0,st_block1
ダイレクトブロックアドレスリストの最初の2エントリ

関連項目

mactime(1)

ライセンス

このソフトウェアはIBM Public Licenseに従い配布される。

履歴

The Coroners Toolkit(TCT)のバージョン 1.0で初めて登場した。

著者

Wietse Venema IBM T.J. Watson Research P.O. Box 704 Yorktown Heights, NY 10598, USA このバージョンはBrian Carrier (carrier at sleuthkit dot org)によってメンテナンスされている。 ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。