jcat

名前

jcat - ファイルシステムジャーナルのブロックのコンテンツを表示する

書式

jcat [-f fstype ] [-vV] [-i imgtype] [-o imgoffset] [-b dev_sector_size] image [images] ] [ inode ] jblk

説明

jcatはファイルシステムジャーナルのジャーナルブロックのコンテンツを表示する。ジャーナルのiノードアドレスは指定されるかデフォルトの場所が使われる。ブロックアドレスはジャーナルブロックのアドレスであり、ファイルシステムのブロックではない。出力は標準出力STDOUTに与えられる。

引数

-f ftype
ファイルシステムタイプを指定する。引数に"-f list"を指定するとサポートされているファイルシステムタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
-i imgtype
イメージファイルのタイプをrawのように指定する。引数に"-i list"を指定するとサポートされているタイプのリストを出力する。このオプションが与えられなければ、自動検出を実行する。
-o imgoffset
そのイメージ内でファイルシステムの先頭を指すセクタのオフセットを指定する。
-b dev_sector_size
デバイスのセクタサイズをバイト値で指定する。このオプション指定がない場合はイメージフォーマットで利用されている値か512が指定される。
-V
バージョン情報を表示する。
-v
詳細情報出力モードにする。内容は標準エラーSTDERRに出力される。
image
-iで指定した形式のディスク(パーティション)イメージを指定する。イメージが複数に分割されている場合は複数のファイル名を指定することができる。もし1つだけ指定されて、かつそれが連続する名前の先頭(例えばファイル名が'.001'のように終わっている)であった場合、後続のイメージは自動的に含まれる。
[inode]
ファイルシステムジャーナルのあるiノード番号を指定する。
jblk
表示するジャーナルブロックを指定する。

jcat -f linux-ext3 img.dd 34 | xxd

著者

Brian Carrier <carrier at sleuthkit dot org> ドキュメントの更新情報は<doc-updates at sleuthkit dot org>に送信してください。