lciga/MFTECmd-for-Linux
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
abd754e22da046226b2c79ef4edba748faae67fb
MFTECmd-for-Linux/README.md
Grigoryev Ilya Alekseevich abd754e22d rebase
2026-04-01 00:10:37 +05:00

62 lines
2.9 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# MFTECmd
[![Golang](https://go.dev/)] [![Source](https://github.com/EricZimmerman/MFTECmd)]
Утилита является портированной под Linux версией утилиты [Эрика Циммермана](https://github.com/EricZimmerman). При портировании была пересмотрена структура флагов и для более простого взаимодействия с программой.
---
## Поддерживаемые форматы файлов
В качестве входных файлов утилита поддерживает:
- `$MFT` - системный файл в файловой системе NTFS, в котором хранится информация о содержимом тома.
- `$J` (USN Journal) -системный файл в файловой системе NTFS, который хранит журнал изменений на томе.
- `$Boot` - системный файл в файловой системе NTFS, содержащий загрузочный сектор и код запуска.
- `$SDS` - системный файл в файловой системе NTFS, содержит список дескрипторов безопасности для всех файлов и каталогов на томе.
- `$I30` - атрибут индекса размещения. Связан с каталогами и содержит информацию о файлах и подкаталогах, содержащихся в каталоге.
- `$LogFile` - системный файл в файловой системе NTFS, содержащий журнал транзакций.
Для экспорта доступны форматы: CSV, JSON и Bodyfile.
### CLI
```sh
Usage: mftecmd <command> [flags]
Utility for processing $MFT, $J, $LogFile, $Boot, $SDS, $I30
Flags:
-h, --help Show context-sensitive help.
--debug Show debug information during processing
--trace Show trace information during processing
Commands:
mft parse <path> [flags]
Parse $MFT and write CSV, JSON, or bodyfile output
mft show <path> <entry> [flags]
Show full details for a specific $MFT entry or entry-sequence
mft export-record --offset=STRING --out=STRING <path>
Export one raw $MFT FILE record by offset
j parse <path> [flags]
Parse $J and write CSV or JSON output
boot parse <path> [flags]
Parse $Boot. CSV output is optional, matching MFTECmd behavior
sds parse <path> [flags]
Parse $SDS and write CSV output
sds show <path> <security-id>
Show full details for a specific Security ID from $SDS
i30 parse <path> [flags]
Parse $I30 and write CSV output
logfile parse <path>
Recognize $LogFile input, but report that parsing is not supported yet
```
## Документация
[Introducing MFTECmd](https://binaryforay.blogspot.com/2018/06/introducing-mftecmd.html)
Reference in New Issue View Git Blame Copy Permalink