Я ищу способ сохранить копию файловой системы NTFS MFT для анализа дат последнего доступа к файлам и также полному списку файлов. Я думал об использовании DD, чтобы избежать необходимости монтировать единицу и не изменять дату последнего доступа к MFT (это, я должен знать, когда диск в последний раз использовался).
Если возможный я также хотел бы видеть список удаленных файлов или смочь отфильтровать его посредством команды.
Действительно ли возможно сделать это? Этот метод может быть более практичным для исследования дат последнего доступа или является им лучше, чтобы я сделал полную копию диска, и проанализируйте его с некоторым программным обеспечением?
Быстрый поиск Google приводит к этому:
Вам будут нужны sleuthkit инструмент и модуль зернышка analyzeMFT
sudo apt install sleuthkit
sudo pip install analyzeMFT # install globally
Это даст нам mmls (не действительно необходимый) и icat инструмент
Позвольте принимают это /dev/sdx
Ваш диск. Но можно адаптировать команду для выполнения этого на изображении.
sudo mmls /dev/sdx
который будет давать Вам смещение раздела NTFS, говорить 1107968
Затем
sudo icat -o 1107968 /dev/sdx 0 > mft.raw
Затем
sudo analyzeMFT.py -f mft.raw -o mftanalyzed.csv
В случае, если у Вас есть образ диска Вашего раздела NTFS, это было бы достаточно
icat -o 0 image.raw 0 > mft.raw
analyzeMFT.py -f mft.raw -o mftanalyzed.csv
Я предполагаю
Действительно ли возможно сделать это?
Несомненно, можно сделать это с RecuperaBit. Как правовая оговорка, я разъясню, что я - разработчик.
После того, как Вы позволите ему просканировать диск или образ диска, ввести recoverable
получить список разделов, включая удаленные, которые могут быть восстановлены. Скажем, Ваш раздел имеет идентификатор 0
можно затем выйти:
csv 0 results.csv
Для файла CSV, или:
bodyfile 0 results.body
Для файла тела, который совместим с mactime
.