blkcat - Отображение содержимого блока данных файловой системы в образе диска.
blkcat [-ahswvV] [-f fstype] [-u unit_size] [-i imgtype] [-o imgoffset] [-b dev_sector_size] image [images] unit_addr [num]
blkcat отображает число единиц данных (по умолчанию – один), начиная с адреса единицы unit_addr от image до стандартного вывода в разных форматы (по умолчанию необработанные). blkcat назывался dcat в версиях TSK до 3.0.0.
Отображать содержимое в ASCII
Укажите изображение как определенный тип файла. Если здесь указано «своп», изображение будет отображаться на страницах размером 4096 байт. Если указано «raw», то в качестве размера по умолчанию используется 512 байт. Флаг '-u' может изменить размер по умолчанию. Используйте '-f list', чтобы вывести список поддерживаемых типов файловых систем. Если не указано, используются методы автоопределения.
Отобразить содержимое в hexdump
Отображение статистики по изображению (размер блока, размер блока файла и количество фрагментов).
Укажите размер единицы данных по умолчанию для необработанных, blkls и изображений подкачки.
Определите тип файла изображения, например необработанный. Используйте '-i list', чтобы перечислить поддерживаемые типы. Если не указано, используются методы автоопределения.
Смещение сектора, где начинается файловая система в образе.
Размер в байтах базовых секторов устройства. Если не указано, используется значение в формате изображения (если оно существует) или предполагается размер 512 байт.
Подробный вывод в stderr.
Показать версию.
Отображение содержимого в формате таблицы HTML.
Образ диска или раздела для чтения, формат которого указывается с помощью '-i'. Можно указать несколько имен файлов изображений, если изображение разделено на несколько сегментов. Если указан только один файл изображения, и его имя является первым в последовательности (например, на что указывает окончание «.001»), последующие сегменты изображения будут включены автоматически.
Адрес дискового блока для отображения. Размер блока в этой файловой системе можно определить с помощью параметра -s.
Количество единиц данных для отображения.
Основные функциональные возможности blkcat также могут быть реализованы с помощью dd. Чтобы определить, какой индексный дескриптор выделил данный блок, можно использовать команду ifind(1). использоваться.
blkcat -hw image 264 4
или
blkcat -hw image 264
ifind(1)
Брайан Кэрриер <перевозчик в sleuthkit dot org>
Отправлять обновления документации по адресу