最新kali之tsk_recover
黎征
描述:
将文件从映像导出到本地目录中。
tsk_recover将文件从映像恢复到output_dir。 默认情况下,仅恢复未分配的文件。 带有标志,它将导出所有文件。
参数如下:
-v
详细输出到stderr
-V
打印版本信息
-a
仅恢复已分配文件
-e
恢复所有文件(已分配和未分配)
-f fstype
指定文件系统类型。 使用“ -f列表”列出支持的文件系统类型。 如果未给出,则使用自动检测方法。
-i imgtype
图像文件的格式,例如raw。 使用“ -i列表”列出支持的类型。 如果未给出,则使用自动检测方法。
-b dev_sector_size
设备扇区的大小(以字节计)。如果没有给出,使用自动检测方法。
-o sector_offset
要恢复的卷的扇区偏移(仅恢复该卷)如果未指定,将尝试恢复映像中的所有卷并将它们保存到其他文件夹。
-d dir_inum
要从中恢复的目录inum(还必须使用-o指定特定分区,否则必须没有卷系统)
image [images]
要读取的磁盘或分区映像,其格式以“ -i”给出。 如果将图像分为多个段,则可以指定多个图像文件名。 如果仅给出一个图像文件,并且其名称是序列中的第一个文件(例如,以“ .001”结尾的文件),则会自动包含后续的图像段。
output_dir
要在其中保存恢复文件的目录。
例
要将仅未分配的文件从image.dd恢复到恢复的目录:
# tsk_recover ./image.dd ./recovered
注:更多kali相关资
类似资料: