对ntfs镜像文件使用istat可以查看一个文件的所有元数据,这对于取证分析很有用。下面是一个例子:
输入为:istat -f ntfs 驱动器E.e01 38
其中
(1) “-f ntfs” 指出 是ntfs 文件格式;
(2) “驱动器E.e01”是镜像文件的名字;
(3) 38是文件的mft id号,这个号码要在文件的meta数据中才可以看到,具体出现在mft头中,需要用winhex打开磁盘找到该文件后查一下。
Sleuth工具 istat的使用
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
推荐阅读更多精彩内容
- WinPE工具箱,装机维护最得力的助手,最后救命稻草。化繁为简,小材大用,一键安装,极速启动。微PE工具箱,最好用...
- 5月以来,哪怕对市场风向再不敏感的人,也感觉到阵阵凉意。二级市场连续下挫,一级市场融资环境恶化,不论企业融资数量还...
