土, 2010/10/30 - 23:35 — kazamiya
tsk_loaddb - ディスクイメージからメタデータを取り出してSQLiteデータベースに投入する
tsk_loaddb [-vVk] [-i imgtype ] [-b dev_sector_size ] [-i imgtype ] [-d output_dir ] image
tsk_loaddbはloads disk information from imageから取り出したディスク情報をsqliteデータベースに投入する。このデータベースは解析用に別のツールで使うことができる。デフォルトでは、データベースはイメージと同じディレクトリに保存され、ファイル名に".db"が追加される。
イメージファイルimage.ddのデータからimage.dd.dbデータベースを作成する。
名前
tsk_loaddb - ディスクイメージからメタデータを取り出してSQLiteデータベースに投入する
書式
tsk_loaddb [-vVk] [-i imgtype ] [-b dev_sector_size ] [-i imgtype ] [-d output_dir ] image
説明
tsk_loaddbはloads disk information from imageから取り出したディスク情報をsqliteデータベースに投入する。このデータベースは解析用に別のツールで使うことができる。デフォルトでは、データベースはイメージと同じディレクトリに保存され、ファイル名に".db"が追加される。
オプションは以下の通りである。
- -d output_dir
- データベースを出力するディレクトリを指定する(指定するディレクトリは存在していなければならない)。指定がなければデータベースファイルはイメージと同じディレクトリ内に作成される。
- -v
- 詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
- -V
- バージョン情報を表示する。
- -k
- ブロックデータテーブルを作成しない。このテーブルは各ブロックと割り当てられているファイルをマップする。このオプションを指定するとプログラムの実行がその分早く終わる。
- -i imgtype
- イメージファイルのフォーマットを指定する。引数に"-i list"を指定するとサポートされているタイプを表示する。
- -b dev_sector_size
- デバイスのセクタサイズをバイトで指定する。
例
イメージファイルimage.ddのデータからimage.dd.dbデータベースを作成する。
# tsk_loaddb ./image.dd
著者
Brian Carrier <carrier at sleuthkit dot org>
ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。
