这是 rifiuti-vista 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
rifiuti2 - MS Windows 回收站分析工具
概要
垃圾 [-hvz[-x | [-8n[-t DELIM]][-l 代码页[-o 输出文件] 文件名
利福蒂维斯塔 [-hvz[-x | [-8n[-t DELIM]][-o 输出文件] 文件或目录
商品描述
Rifiuti2 从 Windows 分析回收站文件。 Windows回收站分析是
通常在 Windows 计算机取证期间进行。 Rifiuti2可以提取文件删除
被删除文件的时间、原始路径和大小以及被删除的文件是否已被删除
因为它们被丢弃了,所以从回收站中移出。
Rifiuti2 支持广泛的 Windows 版本,从 Windows 98 到 Windows 10。
用于分析的命令取决于生成回收站的 Windows 版本(而不去
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 版本 of 用户 系统!),它在 Vista 之前和之后使用了截然不同的格式:
· rifiuti-vista:适用于 Vista 或更高版本,位于 \$Recycle.bin\\. 每个
删除的文件有自己的伴随索引文件记住原始路径,文件
大小和删除时间。 如果原始文件被永久删除,索引也将被永久删除
文件中。
· rifiuti:对于 Windows 98 到 XP,它使用一个名为 INFO2 下的单个索引文件
\RECYCLED\ 或 \RECYCLER\\(取决于文件系统)。 这个文件保留
删除状态和信息的跟踪记录 所有 已删除的项目,包括那些
永久删除或恢复。
默认情况下,两个程序都在屏幕上转储制表符分隔的字段,可以在
屏幕或导入电子表格程序。 -x 选项指示程序转储 XML
格式化的内容。
索引字段对于 Vista 之前和 Vista 之后的版本具有不同的含义。 INFO2 有一个
每个删除项目的索引号指示项目的时间顺序。 为了
Vista 版本,表示索引文件名,匹配模式
“$我x.“, 在哪里 x 是随机的字母数字字符。
默认情况下,删除时间以 UTC 时间表示。 在制表符分隔模式下,原始
保留日期/时间格式,而在 XML 模式下使用 ISO 8601 日期/时间格式。 为了
例如,以这些模式表示的 3 年圣诞节的下午 2014 点将分别为:
2014-12-25 15:00:00
2014-12-25T15:00:00Z
电子表格程序更容易解释第一种格式。
文件大小和文件路径不言自明,但有一些特殊说明。 文件大小
可以表示已删除文件的实际大小,或者它在文件系统上所占的簇大小,
取决于回收站格式。 文件路径可能并不总是可在本地系统上显示
因为它可能包含来自其他本地化版本的 Windows 的字符。
配置
-o, - 输出=文件
将输出写入 FILE。
-x, --xml
以 XML 格式输出,而不是以制表符分隔的值。 使用 XML 模式,一切都简单明了
不允许使用文本选项,结果始终采用 UTF-8 编码。 见下文
纯文本选项。
-l, --legacy-文件名=代码页
如果可用,显示旧文件名(如“D:\Progra~1\”),并指定 CODEPAGE
在生成此 INFO2 文件的 Windows 系统中使用。 支持的任何编码
的iconv(1) 可以使用,但为了文件名结果的最大准确性,它是
最好坚持使用 Microsoft 代码页(例如西欧的 CP850 或 CP1252
版本,CP932 为日语等)。
备注: 如果 INFO2 文件是由 Windows 98 创建的,则此选项是必需的。此选项
在 rifiuti-vista 中不存在。
-z, - 当地时间
当前运行程序的本地系统的数字时区中的删除时间。 经过
默认显示UTC时间,即索引文件中记录的时间值。
使用上面的 X´mas 示例,柏林的时间(没有夏令时)
将是 ISO 2014 格式的 12-25-16T00:00:0100+8601。
备注:通过设置 $TZ 可以使用用户选择的任何时区
环境变量,虽然不推荐。 看 环境 变量 部分
联络一位教师
平原 文字 OUTPUT 配置
-t, --定界符=STRING
用作分隔符的字符串(默认为 TAB)。 几个转义字符是
识别:\r(回车)、\n(新行)、\t(制表符)、\f(换页)、\v
(垂直制表符), \e (ESCAPE)
-n, --无标题
不显示每个字段的回收站路径名称、版本和标题
-8, --始终-utf8
始终以 UTF-8 编码显示结果
其他条款 配置
-v, - 版
打印版本信息并退出。
-h, - 帮帮我
显示帮助选项并退出。
--全部帮助
显示所有帮助选项并退出。
--帮助文本
显示纯文本输出选项并退出。
示例
rifiuti-vista -x -z -o result.xml \case\S-1-2-3\
扫描\case\S-1-2-3\下的索引文件,将所有删除时间调整为本地时间
区,并将 XML 输出写入 result.xml
rifiuti-vista -n -8 \case\S-1-2-3\
在没有标题的 UTF-8 编码中在屏幕上显示制表符分隔的结果
rifiuti-vista -t '\r\n' \case\S-1-2-3\$IF96NJ3.rtf
仅分析单个索引文件并在其自己的行中打印每个字段
rifiuti -t ',' -o result.csv INFO2
将制表符分隔的结果更改为逗号分隔并写入 result.csv
rifiuti -l CP1255 -8 -n INFO2
从希伯来语版本的 Windows 读取 INFO2,在屏幕上显示 8.3 文件名
无标题的 UTF-8 编码
环境 变数
以下环境变量影响程序的执行:
字符集, LC_CTYPE
如果回收站路径包含非 ASCII 字符,这些变量会影响它们的方式
显示。 建议支持 UTF-8 的系统设置 CHARSET=UTF-8 或使用
明确为 LC_CTYPE 指定适当的 UTF-8 值,否则可能会显示路径
在通用字符名称序列中,如 \u1234。
RIFIUTI_DEBUG
将其设置为任何非空值会导致程序打印更多调试信息
输出到标准错误。
TZ
如果非空,则指示用户指定的时区 -z 选项被使用。 一般
时区信息是从系统获取的,不需要设置
多变的。 但是,它可以用作临时覆盖时区的工具
对于某些程序,可用于构建时间线等情况
事件。
该值取决于操作系统。 例如,对于洛杉矶的时区,值
Windows 为“PST8PDT”,而 Linux 上对应的值为
“美国/洛杉矶”。 有关更多信息,请参阅您的操作系统手册
信息。
请参阅 BUGS 使用此变量时出现问题的部分。
退出 状态
两个程序在成功时都返回 0,如果发生错误则返回 >0。
然而 rifiuti-vista 更宽容:如果它仍然返回成功 一些 (不是全部)的
索引文件无效。
历史
里菲尤蒂2 是重写 垃圾,由 Foundstone 编写的相同用途的工具,
后来被 McAfee 收购。 引用原始 FoundStone 页面:
许多计算机犯罪调查需要重建对象的
回收站。 由于这种分析技术是定期执行的,我们研究了
在回收站存储库文件(INFO2 文件)中找到的数据的结构。
Rifiuti 是意大利语,意思是“垃圾”,是为了检查垃圾的内容而开发的。
回收站中的 INFO2 文件。 ... Rifiuti 旨在处理多个
平台并将在 Windows(通过 Cygwin)、Mac OS X、Linux 和 *BSD 上执行
平台。
但是,由于原始的 rifiuti(上次更新于 2004 年)无法从任何
Windows 的本地化版本(仅限英文),这种重写工作是为了
克服限制。 后来rifiuti2进行了改进,增加了对Vista格式的支持
回收站、XML 输出和其他原始版本没有的额外功能。
使用 onworks.net 服务在线使用 rifiuti-vista
