Difference between revisions of "The Sleuth Kit How-To"

From ForensicsWiki
Jump to: navigation, search
m (New page: To find which file maps to a given sector number on the first partition of a Windows volume: ifind -o63 -d <sector-number> <disk-image> This returns an inode number. ffind -o63 <disk...)
 
m (Category:Howtos)
 
Line 29: Line 29:
 
�����������������������������������������������������������������������������ͼ
 
�����������������������������������������������������������������������������ͼ
 
</pre>
 
</pre>
 +
 +
[[Category:Howtos]]

Latest revision as of 14:22, 30 March 2009

To find which file maps to a given sector number on the first partition of a Windows volume:

 ifind -o63 -d <sector-number> <disk-image>

This returns an inode number.

 ffind -o63 <disk-image> <inode-number>

For example, if we want to find which file maps to sector 1249 of the file image.iso, use:

 $ ifind -o63 -d 1249 image.iso
 6
 $ ffind -o63 image.iso 6
 /TCLAIM.TXT

You can print out the contents of the file with the icat command:

$ icat -o63 image.iso  6
�����������������������������������������������������������������������������ͻ
� ������������    �����������  ��              ��      ��������   ���     ��� �
�      ��         ��       ��  ��             ����        ��      ����   ���� �
�      ��         ��           ��            ��  ��       ��      �� �� �� �� �
�      ��         ��           ��           ��    ��      ��      ��  ���  �� �
�      ��         ��           ��          ��      ��     ��      ��       �� �
�      ��         ��           ��          ��      ��     ��      ��       �� �
�      ��         ��           ��          ����������     ��      ��       �� �
�      ��         ��       ��  ��          ��      ��     ��      ��       �� �
�      ��         �����������  ����������� ��      ��  ��������   ��       �� �
�                                                                             �
�����������������������������������������������������������������������������ͼ