The Sleuth Kit How-To

From Forensics Wiki
Revision as of 13:22, 30 March 2009 by .FUF (Talk | contribs)

(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

To find which file maps to a given sector number on the first partition of a Windows volume: 

 ifind -o63 -d <sector-number> <disk-image>

This returns an inode number. 

 ffind -o63 <disk-image> <inode-number>

For example, if we want to find which file maps to sector 1249 of the file image.iso, use: 

 $ ifind -o63 -d 1249 image.iso
 6
 $ ffind -o63 image.iso 6
 /TCLAIM.TXT

You can print out the contents of the file with the icat command: 

$ icat -o63 image.iso  6
�����������������������������������������������������������������������������ͻ
� ������������    �����������  ��              ��      ��������   ���     ��� �
�      ��         ��       ��  ��             ����        ��      ����   ���� �
�      ��         ��           ��            ��  ��       ��      �� �� �� �� �
�      ��         ��           ��           ��    ��      ��      ��  ���  �� �
�      ��         ��           ��          ��      ��     ��      ��       �� �
�      ��         ��           ��          ��      ��     ��      ��       �� �
�      ��         ��           ��          ����������     ��      ��       �� �
�      ��         ��       ��  ��          ��      ��     ��      ��       �� �
�      ��         �����������  ����������� ��      ��  ��������   ��       �� �
�                                                                             �
�����������������������������������������������������������������������������ͼ
Retrieved from "http://www.forensicswiki.org/w/index.php?title=The_Sleuth_Kit_How-To&oldid=9043"
Personal tools
Namespaces

Variants
Actions
Navigation:
About forensicswiki.org:
Toolbox