压缩ntfs卷的文件雕刻。
LaZy_NT的Python项目详细描述
Lazy_nt是一个法医分析和数据恢复框架,旨在 原始磁盘映像中的文件。它使用文件签名和其他技术 尽可能多地恢复原始数据。
使此软件与更著名的文件雕刻不同的功能 用途是它被设计用来检测和雕刻 由ntfs文件系统压缩。ntfs支持对单个 使用专有“lznt1”算法的文件、文件夹或整个卷,从 此包派生其名称的。在处理磁盘映像时,如果是ntfs 检测到压缩,lazy\u nt将动态解压缩数据流以 确保恢复了正确的文件数据。
除了标准的文件雕刻之外,lazy\u nt还提供了基本的功能 支持法医调查的ascii提取能力。启用时, 此模式将解压缩并提取所有ascii文本数据,并将其计算为 确定电子邮件地址、URL和其他个人或法医感兴趣的内容 信息。
lazy\u nt通常在未压缩的文件和卷上运行, 以及非ntfs文件系统的映像。但是在这种情况下 恢复性能可能不如 文件雕刻和批量提取实用程序。
用法
调用预先生成的应用程序的最简单方法是调用run()app模块中App类的方法。下面的例子 演示如何将其实现为一个简单的启动程序脚本:
#!python from LaZy_NT import app ... # Obtain command line arguments, e.g. via argparse, to pass to App() as # keyword arguments. Otherwise defaults from `config` will be used. ... application = app.App() application.run()
或者,lazy\u nt公开的api可以用来构建 自定义文件恢复应用程序,不使用app模块 完全。
安装
LaZy_NT在pypi上可用,可通过pip:
安装python -m pip install LaZy_NT
以下可选依赖项通过添加元数据增强了惰性 文件被雕刻后的提取:
hachoir-core, hachoir-parser, hacoir-metadata openxmllib pyPdf Pillow (or PIL)
如果^{tt5},将自动安装所有可选依赖项$ 通过pip安装。
文档
使用pdoc生成LaZy_NT的文档。
致谢
我想认识Richard Russon和Yuval Fledel, 与Linux NTFS文件系统驱动程序关联的“NTFS文档”手册。 如果没有他们对lznt1算法的详细解释,这个项目将 不可能。
我也想认识西蒙加芬克尔,著名的 “批量提取器”实用程序。我没有看过或使用过他的资料 在这个项目的代码或文档中,他的实用程序的使用激发了 我要向此项目添加ascii提取功能。
欢迎加入QQ群-->: 979659372
