3.0 KiB
3.0 KiB
MFTECmd
Утилита является портированной под Linux версией утилиты Эрика Циммермана. При портировании была пересмотрена структура флагов и для более простого взаимодействия с программой.
Поддерживаемые форматы файлов
В качестве входных файлов утилита поддерживает:
$MFT- системный файл в файловой системе NTFS, в котором хранится информация о содержимом тома.$J(USN Journal) -системный файл в файловой системе NTFS, который хранит журнал изменений на томе.$Boot- системный файл в файловой системе NTFS, содержащий загрузочный сектор и код запуска.$SDS- системный файл в файловой системе NTFS, содержит список дескрипторов безопасности для всех файлов и каталогов на томе.$I30- атрибут индекса размещения. Связан с каталогами и содержит информацию о файлах и подкаталогах, содержащихся в каталоге.$LogFile- системный файл в файловой системе NTFS, содержащий журнал транзакций.
Для экспорта доступны форматы: CSV, JSON и Bodyfile.
CLI
Usage: mftecmd <command> [flags]
Utility for processing $MFT, $J, $LogFile, $Boot, $SDS, $I30
Flags:
-h, --help Show context-sensitive help.
--debug Show debug information during processing
--trace Show trace information during processing
Commands:
mft parse <path> [flags]
Parse $MFT and write CSV, JSON, or bodyfile output
mft show <path> <entry> [flags]
Show full details for a specific $MFT entry or entry-sequence
mft export-record --offset=STRING --out=STRING <path>
Export one raw $MFT FILE record by offset
j parse <path> [flags]
Parse $J and write CSV or JSON output
boot parse <path> [flags]
Parse $Boot. CSV output is optional, matching MFTECmd behavior
sds parse <path> [flags]
Parse $SDS and write CSV output
sds show <path> <security-id>
Show full details for a specific Security ID from $SDS
i30 parse <path> [flags]
Parse $I30 and write CSV output
logfile parse <path>
Recognize $LogFile input, but report that parsing is not supported yet