blkls

名前

blkls - ファイルシステムデータユニットを表示または出力する

書式

blkls [-aAelsvV] [-f fstype ] [-i imgtype ] [-o imgoffset ] [-b dev_sector_size ] image [images] [start-stop]

説明

blklsimage(s)で指定されたファイルを開き、ファイルシステムデータユニット(ブロック)をコピーする。デフォルトでは、blklsは未割当ステータスのデータブロックのコンテンツをコピーする。blklsはTSK 3.0.0より前のバージョンではdlsと命名されていた。blklsはTCTでunrmと命名されていた。

引数

-e
ファイルシステムメタデータのブロックを含め、全てのブロックをコピーする。出力はファイルシステム全体になる。
-a
全ての割当済ステータスのブロックを表示する(-Aオプションも指定されると-eと同等となる)。
-A
全ての未割当ステータスのブロックを表示する(-aオプションも指定されると-eと同等となる)。これがデフォルトの動作となる。
-f fstype
イメージのファイルシステムタイプを指定する。引数に"-f list"を指定するとサポートされているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
-i imgtype
イメージファイルのタイプをrawのように指定する。引数に"-i list"を指定するとサポートされているタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
-o imgoffset
そのイメージ内でファイルシステムの先頭を指すセクタのオフセットを指定する。
-b dev_sector_size
デバイスのセクタサイズをバイト値で指定する。このオプション指定がない場合はイメージフォーマットで利用されている値か512が指定される。
-l
時系列のフォーマットでデータの情報を表示する。
-s
イメージのスラックスペースのみをコピーする。
-v
詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
-V
バージョン情報を表示する。
image [images]
-iで指定した形式のディスク(パーティション)イメージを指定する。イメージが複数に分割されている場合は複数のファイル名を指定することができる。もし1つだけ指定されて、かつそれが連続する名前の先頭(例えばファイル名が'.001'のように終わっている)であった場合、後続のイメージは自動的に含まれる。
start-stop ...
指定したブロック番号または番号の範囲を解析する。

ライセンス

このソフトウェアはIBM Public Licenseに従い配布される。

履歴

Wietse VenemaによるThe Coroners Toolkit (TCT)のバージョン1.0で初めて登場した。現在はBrian Carrier <carrier at sleuthkit dot org>によってメンテナンスされている。 ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。