描述:
根据文件类型将图像中的文件分类。
sorter是一个Perl脚本,它分析文件系统以按文件类型组织已分配和未分配的文件。 它在每个文件上运行“文件”命令,并根据配置文件中的规则组织文件。 扩展名不匹配也可以识别“隐藏”文件。 还可以为已知良好的文件提供哈希数据库,可以将其忽略,而已知不良的文件应提供警报。
默认情况下,该程序使用安装了侦探工具包的目录中的配置文件。 那些可以被运行时选项否决。 对于所有文件系统类型,都有一个标准配置文件,然后对于给定的操作系统,有一个特定的配置文件。
参数:
必需的参数如下。 这将分析一个或多个图像,并将结果保存在“ -d”目录中或将结果列出到STDOUT(如果给出了“ -l”)。
-d dir
指定应写入所有文件的位置。 如果给出了“ -s”标志,则包括索引文件和子目录。 除非给出“ -l”列表标志,否则必须给出这个。
-l
将信息列出到STDOUT(永远不会写入文件)。 这对于使用“ netcat”的事件响应很有用。 如果使用“ -d”,则无法使用。
image [images]
要读取的磁盘或分区映像,其格式以“ -i”给出。 如果将图像分为多个段,则可以指定多个图像文件名。 如果仅给出一个图像文件,并且其名称是序列中的第一个图像文件(例如,以'.001'结尾的文件),则后续的图像段将自动包含在内。
选项如下:
-f fstype
指定图像的文件系统类型。 这与侦探工具包使用的类型相同。
-i imgtype
指定文件系统所在的图像类型。这与Sleuth Kit使用的图像类型相同。
-o imgoffset
指定从映像开头到文件系统开头的扇区偏移量。