土, 2010/10/30 - 23:19 — kazamiya
tsk_gettimes - ディスクイメージのMAC timeを収集してbodyファイルを作成する
tsk_gettimes [-vV] [-i imgtype ] [-b dev_sector_size ] [-z zone ] [-f fstype ] [-s seconds ] image
tsk_gettimesはディスクイメージ内の各ファイルシステムを調べてMACtime bodyフォーマットのデータを出力する(各ファイルシステム上で'fls -m'を実行することと同じ)。出力はファイルのアクティビティからタイムラインを作成するmactimeコマンドの入力に使われる。データは標準出力STDOUTに出力され、ファイルにリダイレクトすることもできる。
名前
tsk_gettimes - ディスクイメージのMAC timeを収集してbodyファイルを作成する
書式
tsk_gettimes [-vV] [-i imgtype ] [-b dev_sector_size ] [-z zone ] [-f fstype ] [-s seconds ] image
説明
tsk_gettimesはディスクイメージ内の各ファイルシステムを調べてMACtime bodyフォーマットのデータを出力する(各ファイルシステム上で'fls -m'を実行することと同じ)。出力はファイルのアクティビティからタイムラインを作成するmactimeコマンドの入力に使われる。データは標準出力STDOUTに出力され、ファイルにリダイレクトすることもできる。
オプションは以下の通りである。
- -v
- 詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
- -V
- バージョン情報を表示する。
- -i imgtype
- イメージファイルのフォーマットを指定する。引数に"-i list"を指定するとサポートされているタイプを表示する。指定がなければ自動検出する。
- -b dev_sector_size
- デバイスのセクタサイズをバイトで指定する。指定がなければ自動検出する。
- -s seconds
- オリジナルのシステム時刻(秒)の誤差を指定する。例えば、オリジナルのシステムで100秒遅れていれば、ここでは-100と指定する。
- -z zone
- オリジナルのタイムゾーンをASCIIコードで指定する。例えばESTやGMTなどである(訳注: 日本時間の場合はJST)。これらは使っているOSで定義されていなければならない。
例
イメージファイルimage.ddのデータを収集する。
# tsk_gettimes ./image.dd > body.txt
著者
Brian Carrier <carrier at sleuthkit dot org>
ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。
