MarianoM Asked: 2018-12-01 01:54:23 +0800 CST2018-12-01 01:54:23 +0800 CST 2018-12-01 01:54:23 +0800 CST 使用 DD 创建 MFT 副本并转换为 CSV? 772 我正在寻找一种方法来保存 NTFS 文件系统 MFT 的副本,以分析上次访问文件的日期以及文件的完整列表。我已经考虑过使用 DD 来避免必须安装设备并且不修改上次访问 MFT 的日期(我需要知道上次使用光盘的时间)。 如果可能的话,我还想查看已删除文件的列表或能够通过命令对其进行过滤。 是否有可能做到这一点?这种方法可以更实用地调查上次访问的日期,还是让我制作完整的磁盘副本并使用一些软件对其进行分析更好? filesystem ntfs 2 个回答 Voted Best Answer solsTiCe 2018-12-01T02:41:58+08:002018-12-01T02:41:58+08:00 一个快速的谷歌搜索导致这一点: 您将需要一个sleuthkit工具和analyzeMFT pip 模块 sudo apt install sleuthkit sudo pip install analyzeMFT # install globally 这将为我们提供mmls(并非真正需要)和icat工具 假设这/dev/sdx是您的磁盘。但是您可以调整命令以在图像上运行它。 sudo mmls /dev/sdx 这将为您提供 NTFS 分区的偏移量,例如 1107968 然后, sudo icat -o 1107968 /dev/sdx 0 > mft.raw 然后, sudo analyzeMFT.py -f mft.raw -o mftanalyzed.csv 如果您有NTFS 分区的磁盘映像,这就足够了 icat -o 0 image.raw 0 > mft.raw analyzeMFT.py -f mft.raw -o mftanalyzed.csv 我猜 资源 Andrea Lazzarotto 2018-12-09T13:47:26+08:002018-12-09T13:47:26+08:00 是否有可能做到这一点? 当然,您可以使用RecuperaBit做到这一点。作为免责声明,我将澄清我是开发人员。 让它扫描驱动器或磁盘映像后,键入recoverable以获取分区列表,包括可以重建的已删除分区。假设您的分区有 id 0,您可以发出: csv 0 results.csv 对于 CSV 文件,或: bodyfile 0 results.body 对于与. _mactime
一个快速的谷歌搜索导致这一点:
您将需要一个sleuthkit工具和analyzeMFT pip 模块
这将为我们提供mmls(并非真正需要)和icat工具
假设这
/dev/sdx是您的磁盘。但是您可以调整命令以在图像上运行它。这将为您提供 NTFS 分区的偏移量,例如 1107968
然后,
然后,
如果您有NTFS 分区的磁盘映像,这就足够了
我猜
资源
当然,您可以使用RecuperaBit做到这一点。作为免责声明,我将澄清我是开发人员。
让它扫描驱动器或磁盘映像后,键入
recoverable以获取分区列表,包括可以重建的已删除分区。假设您的分区有 id0,您可以发出:对于 CSV 文件,或:
对于与. _
mactime