从二进制数据雕刻ntfs usn日志记录的python脚本
usncarve的Python项目详细描述
从任意二进制数据雕刻ntfs usn记录的python脚本
说明
ntfs usn change journal是一个特定于卷的日志,它记录对文件的元数据更改。这是法医调查过程中的一个信息宝库。当更改日志达到其最大大小时,日志的磁盘空间的簇被操作系统标记为未分配,以在以后需要时使用。与许多其他工件一样,usn在未分配空间中更改日志记录可能非常有价值。更好的是,由于更改日志记录的紧凑性,我经常在文件系统分配的集群之外发现数百万条记录。
此脚本将从任意二进制数据雕刻ntfs usn日志记录,并以二进制格式输出到文件。然后,调查员可以使用自己选择的工具解析这些记录。此时,脚本只支持原始/dd输入文件。
使用和输出
只需指定输入和输出文件:
dev@computer:$ python usncarve.py -f file.raw -o usn.raw
命令行选项
usage: usncarve.py [-h] -f FILE -o OUTFILE
optional arguments:
-h, --help show this help message and exit
-f FILE, --file FILE Carve USN records from the given file
-o OUTFILE, --outfile OUTFILE
Output to the given file
安装
使用setup.py:
python setup.py install
使用pip:
pip install usncarve
| Travis-CI |
|---|
欢迎加入QQ群-->: 979659372
