rifiuti-vista - Інтернет у хмарі

ПРОГРАМА:

ІМ'Я

rifiuti2 - інструмент аналізу кошика MS Windows

СИНТАКСИС

відходів [-хвз] [-x | [-8н] [-t розмежувати]] [-l кодова сторінка] [-o вихідний файл] ім'я файлу

rifiuti-vista [-хвз] [-x | [-8н] [-t розмежувати]] [-o вихідний файл] файл_або_каталог

ОПИС

Rifiuti2 аналізує файли кошика з Windows. Аналіз кошика Windows є
зазвичай проводиться під час комп’ютерної експертизи Windows. Rifiuti2 може витягувати файли, видалені
час, вихідний шлях і розмір видалених файлів, а також те, чи були видалені файли
винесені з кошика, оскільки вони вивезені.

Rifiuti2 підтримує широкий діапазон версій Windows, від Windows 98 до Windows 10
команда, що використовується для аналізу, залежить від версії Windows, яка створює кошик (НЕ
версія of користувачів´ система!), який використовує зовсім інший формат до і після Vista:

· rifiuti-vista: для Vista або новішої версії, яка знаходиться в \$Recycle.bin\\. Кожен
видалений файл має власний супроводжуваний індексний файл, який запам’ятовує вихідний шлях, файл
розмір і час видалення. Якщо вихідний файл назавжди видалено, то і індекс
файлу.

· rifiuti: для Windows 98 до XP, який використовує один індексний файл під назвою INFO2 у
або \RECYCLED\ або \RECYCLER\\ (залежно від файлової системи). Цей файл зберігається
послужний список для статусу видалення та інформації для всі видалені елементи, в т.ч
остаточно видалено або відновлено.

За замовчуванням обидві програми виводять на екран поля, розділені табуляціями, які можна переглядати
екрана або імпортовано в програму електронних таблиць. -x Параметр наказує програмі скинути XML
натомість форматований вміст.

Поле індексу має різне значення для версій до Vista та після Vista. INFO2 має
індексний номер для кожного видаленого елемента, що вказує хронологічний порядок елементів. Для
Версія Vista, замість цього означає ім’я індексного файлу, яке відповідає шаблону
“$Яx.», де x є випадковим буквено-цифровим символом.

Видалений час за замовчуванням відображається в часі UTC. У режимі з роздільниками табуляції оригінал
Формат дати/часу зберігається, а в режимі XML використовується формат дати/часу ISO 8601. Для
наприклад, 3:2014 на Різдво XNUMX року, представлені в цих режимах буде відповідно:
2014-12-25 15:00:00
2014-12-25T15:00:00Z
Програмам електронних таблиць було б легше інтерпретувати перший формат.

Розмір файлу та шлях до файлу зрозумілі самі, але є деякі особливі примітки. Розмір файлу
може означати реальний розмір видаленого файлу або розмір кластера, який він займає у файловій системі,
залежно від формату кошика. Шлях до файлу може не завжди відображатися в локальній системі
оскільки він може містити символи з іншої локалізованої версії Windows.

ВАРІАНТИ

-o, - вихід=Фото
Записати вихід у FILE.

-x, --xml
Виведення у форматі XML замість значень, розділених табуляторами. У режимі XML все зрозуміло
текстові параметри заборонені, а результат завжди в кодуванні UTF-8. Дивіться нижче
параметри звичайного тексту.

-l, --застаріла назва файлу=КОДОВА СТОРІНКА
Показати застаріле ім’я файлу, якщо воно доступне (наприклад, «D:\Progra~1\»), і вказати CODEPAGE
використовується в системі Windows, яка створює цей файл INFO2. Будь-які кодування, які підтримуються
iconv(1) можна використовувати, хоча для максимальної точності результатів імен файлів це так
краще дотримуватися кодових сторінок Microsoft (наприклад, CP850 або CP1252 для західноєвропейських
версія, CP932 для японської тощо).

Примітка:: Цей параметр є обов'язковим, якщо файл INFO2 створено Windows 98. Цей параметр
не існує в rifiuti-vista.

-z, --місцевий час
Поточний час видалення в числовому часовому поясі локальної системи, на якій запущена програма. За
за замовчуванням відображається час UTC, що є значенням часу, записаним в індексних файлах.
Використовуючи наведений вище приклад із Різдвом, час у Берліні (без переходу на літній час)
буде 2014-12-25T16:00:00+0100 у форматі ISO 8601.

Примітка:: Можна використовувати будь-який часовий пояс на вибір користувачів, встановивши $TZ
змінна середовища, хоча не рекомендується. Побачити НАВКОЛИШНЄ СЕРЕДОВИЩЕ ЗМІННИЙ розділ
нижче.

ЗВИЧАЙНА TEXT ВИХІД ВАРІАНТИ
-t, --розділювач=STRING
Рядок для використання як роздільника (за замовчуванням TAB). Кілька втеклих персонажів
розпізнано: \r (ПОВЕРТАННЯ КАРЕТКИ), \n (НОВИЙ РЯДОК), \t (TAB), \f (ПОДАВАННЯ ФОРМИ), \v
(ВЕРТИКАЛЬНА ТАБЛАЦІЯ), \e (ВИХІД)

-n, --без заголовка
Не показувати назву шляху до кошика, версію та заголовок для кожного поля

-8, --always-utf8
Завжди відображати результат у кодуванні UTF-8

РІЗНЕ ВАРІАНТИ
-v, -- версія
Роздрукувати інформацію про версію та вийти.

-h, --допомога
Показати параметри довідки та вийти.

--допомога-всім
Показати всі параметри довідки та вийти.

--довідковий текст
Показати параметри виведення простого тексту та вийти.

ПРИКЛАДИ

rifiuti-vista -x -z -o result.xml \case\S-1-2-3\
Скануйте файли індексу в папці \case\S-1-2-3\, налаштуйте весь час видалення за місцевим часом
зони та запишіть вихідний XML-код у result.xml

rifiuti-vista -n -8 \case\S-1-2-3\
Показувати результат із роздільниками табуляції на екрані в кодуванні UTF-8 без заголовка

rifiuti-vista -t '\r\n' \case\S-1-2-3\$IF96NJ3.rtf
Аналізуйте лише один індексний файл і друкуйте кожне поле в окремому рядку

rifiuti -t ',' -o result.csv INFO2
Змініть результат із роздільниками табуляції на розділений комами та запишіть у result.csv

rifiuti -l CP1255 -8 -n INFO2
Прочитайте INFO2 з івритської версії Windows, відобразіть на екрані імена файлів 8.3
Кодування UTF-8 без заголовка

НАВКОЛИШНЄ СЕРЕДОВИЩЕ ЗМІННІ

Наступні змінні середовища впливають на виконання програми:

CHARSET, LC_CTYPE
Якщо шлях до кошика містить символ не ASCII, ці змінні впливають на те, як вони
відображаються. Системам із підтримкою UTF-8 рекомендується встановити CHARSET=UTF-8 або використовувати
відповідні значення UTF-8 для LC_CTYPE явно, інакше може відображатися шлях
в послідовностях універсальних імен символів, наприклад \u1234.

RIFUTI_DEBUG
Встановлення його на будь-яке не порожнє значення змусить програми друкувати більше налагодження
виведення в stderr.

TZ
Якщо не порожній, вкажіть часовий пояс, визначений користувачем, коли -z використовується варіант. Зазвичай
інформація про часовий пояс отримується від системи, і встановлювати її не потрібно
змінний. Однак його можна використовувати як засіб для тимчасового зміни часового поясу
для деяких програм, які можна використовувати для таких ситуацій, як побудова шкали часу
події.

Це значення залежить від ОС. Наприклад, для часового поясу в Лос-Анджелесі значення для
Windows — «PST8PDT», тоді як у Linux відповідне значення буде
«Америка/Лос_Анджелес». Будь ласка, зверніться до посібника для вашої операційної системи для отримання додаткової інформації
Інформація.

Див БУГИ розділ нижче для проблем під час використання цієї змінної.

EXIT СТАТУС

Обидві програми повертають 0 в разі успіху і >0, якщо виникає помилка.

Однак rifiuti-vista є більш вседозволеним: він все одно повертає успіх, якщо деякі (не всі) з
індексні файли недійсні.

ІСТОРІЯ

Rifiuti2 є переписом відходів, інструмент ідентичного призначення, написаний Foundstone котрий
пізніше був придбаний McAfee. Цитата з оригінальної сторінки FoundStone:

Багато розслідувань комп’ютерних злочинів вимагають реконструкції суб’єкта
Смітник. Оскільки ця методика аналізу виконується регулярно, ми дослідили
структуру даних, знайдених у файлах сховища кошика (файли INFO2).
Rifiuti, італійське слово, що означає «сміття», було розроблено для вивчення вмісту
файл INFO2 в кошику. ... Rifiuti створений для роботи з кількома
платформах і виконуватиметься в Windows (через Cygwin), Mac OS X, Linux і *BSD
платформи.

Однак, оскільки оригінальний rifiuti (останнє оновлення 2004 р.) не може аналізувати кошик з будь-якого
локалізована версія Windows (обмежена англійською мовою), ця спроба перезапису створена для
подолати обмеження. Пізніше rifiuti2 було вдосконалено, щоб додати підтримку формату Vista
кошик, вихід XML та інші додаткові функції, недоступні в оригінальній версії.

Використовуйте rifiuti-vista онлайн за допомогою служб onworks.net