ntfs walker 다운로드

ntfswalk에는 여러 개의 명령줄 스위치가 있으며, 가끔 사용하는 사용자에게는 함께 사용할 수 있는 옵션과 사용할 수 없는 옵션이 혼동될 수 있습니다. 다음은 인수없이 도구를 실행할 때 표시되는 메뉴 옵션의 스크린 샷입니다. 위의 예에서 ntfswalk는 모든 파일의 내용을 스캔하여 실행 파일인지 여부를 확인했습니다(확장명이 무엇인지와 무관) PE(또는 exe/dll의 16비트 버전) 서명이 있는 것으로 확인되면 내용의 MD5 해시를 계산했습니다. 당신이 상상할 수 있듯이,이 프로세스는 분석하는 볼륨의 크기에 따라 시간이 좀 걸립니다. 위에 표시된 두 번째 영역은 필터링입니다. 이렇게 하면 분석하여 사용자에게 표시되는 파일(또는 MFT 항목)을 정의합니다. 삭제된 파일/폴더, 확장명, 부분 이름 및 이진 서명을 필터링할 수 있습니다. 이진 서명의 경우 현재 ntfswalk를 사용하면 레지스트리 하이브, 이벤트 로그, SQLite3 데이터베이스 또는 휴대용 실행 파일을 찾을 수 있습니다. 또한 이 영역에서는 일반 할당된 클러스터 대신 할당되지 않은 모든 클러스터를 분석하거나 지정된 디렉터리에서 파일을 가져올 수 있습니다. 세 번째 예로 MFT 항목과 연결된 클러스터 데이터를 추출하려는 경우 [-action_copy_files <directory를 사용하여 추출된 파일을 저장할 수 있습니다.]. 아래 구문은 lnk의 확장명이있는 삭제 된 파일만 열거하려는 것을 보여줍니다. 복사본의 일부로 ntfswalk에 이러한 결과 파일과 관련된 각 클러스터를 덤프 디렉터리로 복사하도록 지시합니다.

명령의 구문은 다음과 같은 네 번째 영역으로 결과를 보고자 하는 방법을 선택할 수 있습니다. 위에서 언급했듯이 디렉터리로 데이터를 추출하려는 경우에도 필터 테스트를 통과하는 모든 파일을 기록하는 결과 파일이 있습니다. 기본 출력은 일반 텍스트이며, 메모장에서 볼 때 적절한 서식이 있고 단어 줄 바꿈이 꺼져 있습니다. 다른 형식은 스프레드시트 분석 또는 기타 후처리 도구를 위해 준비됩니다. 일반적으로 숫자를 포함하는 모든 데이터는 기본적으로 헥사데피말로 설정됩니다. 그러나 원하는 경우 출력을 base10 표기명으로 변환하는 옵션이 있습니다. ntfswalk에 대한 추가 기능으로 해시 세트 형식 결과 파일을 생성하는 기능입니다. 위의 ntfswalk 흐름 다이어그램과 상관 관계가 있는 각 옵션에 대한 구문은 아래 그림에 나와 있습니다. 또한 이 그림은 다른 옵션과 함께 사용할 수 있는 옵션을 식별합니다.

따라서, 하나는 선택할 수 있습니다: (a) 하나의 입력 소스, (b) 필터의 없음 또는 임의의 조합, (c) 없음 또는 하나의 추출 옵션 및 (d) 출력 결과에 대한 하나의 형식 형식. 리비아/libfsntfs의 새로운 릴리스에 대한 알림을 원하십니까? 그림은 샘플 출력의 스냅샷을 보여 주며, 일부 행/cols를 트리밍한 후 데이터 형식, 파일 이름 및 데이터가 있는 위치를 볼 수 있습니다. 볼륨 정보 또는 개체 식별자와 같이 쉽게 구문 분석되는 데이터 집합의 경우 ntfswalk는 해석된 데이터를 표시합니다. 다른 항목의 경우 해당되는 경우 클러스터 정보가 표시됩니다. 다이어그램의 세 번째 영역은 추출 옵션입니다.