从任意二进制数据雕刻windows预取工件的python脚本
prefetchcarve的Python项目详细描述
从任意二进制数据雕刻windows预取工件的python脚本
说明
Windows应用程序预取机制是为了在启动应用程序时提供性能优势。这也是一个更有益的法医文物证据应用于执行。prefetch-carve.py提供从二进制数据(如未分配的磁盘空间、原始内存映像等)雕刻预取工件的功能。prefetch-carve.py将输出到指定文件,并支持多种输出格式。
支持的预取类型
Windows 10预回迁文件已压缩,无法以这种方式从磁盘上进行雕刻。支持所有其他预取格式(Windows XP-Windows 8.1)
命令行选项
optional arguments:
-h, --help show this help message and exit
-f FILE, --file FILE Carve Prefetch files from the given file
-o OUTFILE, --outfile OUTFILE
Write results to the given file
-c, --csv Output results in csv format
-m, --mactime Output results in mactime format
-t, --tln Output results in tln format
-s SYSTEM, --system SYSTEM
System name (use with -t)
测试
全面测试仍在进行中。我计划很快把这个项目和特拉维斯公司整合起来。
安装
使用setup.py:
python setup.py install
使用pip:
pip install prefetchcarve
欢迎加入QQ群-->: 979659372
