Это команда rifiuti-vista, которую можно запустить в провайдере бесплатного хостинга OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
rifiuti2 - инструмент анализа корзины MS Windows
СИНТАКСИС
мусор [-хвз] [-x | [-8н] [-t DELIM]] [-l кодовая] [-o Outfile] имя файла
Рифиути-Виста [-хвз] [-x | [-8н] [-t DELIM]] [-o Outfile] файл_или_каталог
ОПИСАНИЕ
Rifiuti2 анализирует файлы корзины из Windows. Анализ корзины Windows есть
обычно выполняется во время компьютерной экспертизы Windows. Rifiuti2 может извлекать удаление файлов
время, исходный путь и размер удаленных файлов, а также были ли удаленные файлы
перемещены из корзины, так как они выброшены.
Rifiuti2 поддерживает широкий спектр версий Windows, от Windows 98 до Windows 10.
команда, используемая для анализа, зависит от версии Windows, в которой создается корзина (
версия of пользователей система!), который использует совершенно другой формат до и после Vista:
· Rifiuti-vista: для Vista или более поздних версий, который находится в \ $ Recycle.bin \\. Каждый
удаленный файл имеет собственный сопровождающий индексный файл, запоминающий исходный путь, файл
размер и время удаления. Если исходный файл удален навсегда, индекс
.
· Rifiuti: для Windows 98 - XP, в которой используется единственный индексный файл с именем INFO2 в
либо \ RECYCLED \, либо \ RECYCLER \\ (в зависимости от файловой системы). Этот файл хранит
запись для статуса удаления и информация для ВСЕ удаленные элементы, в том числе
безвозвратно удален или восстановлен.
По умолчанию обе программы выводят на экран поля, разделенные табуляцией, которые можно просмотреть на
экрана или импортированы в программу электронных таблиц. -x опция указывает программе выгрузить XML
форматированный контент.
Поле индекса имеет разное значение для версий до и после Vista. INFO2 имеет
порядковый номер для каждого удаляемого элемента с указанием хронологического порядка элементов. Для
Версия Vista, это означает вместо этого имя индексного файла, которое соответствует шаблону
«$ Ix.", куда x является случайным буквенно-цифровым символом.
По умолчанию удаленное время отображается в формате UTC. В режиме с разделителями табуляции исходный
Формат даты / времени сохраняется, в то время как в режиме XML используется формат даты / времени ISO 8601. Для
Например, 3 часа дня на Рождество 2014 года, представленные в этих режимах, будут соответственно:
2014-12-25 15:00:00
2014-12-25T15:00:00Z
Программам для работы с электронными таблицами было бы легче интерпретировать первый формат.
Размер и путь к файлу говорят сами за себя, но есть некоторые особые примечания. Размер файла
может означать реальный размер удаленного файла или размер кластера, который он занимает в файловой системе,
в зависимости от формата корзины. Путь к файлу не всегда может отображаться в локальной системе
потому что он может содержать символы из другой локализованной версии Windows.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-o, --выход=ФАЙЛОВ
Записать вывод в ФАЙЛ.
-x, --xml
Вывод в формате XML вместо значений, разделенных табуляцией. В режиме XML все просто
текстовые параметры запрещены, а результат всегда в кодировке UTF-8. См. Ниже для
параметры обычного текста.
-l, --legacy-имя-файла=КОДОВАЯ СТРАНИЦА
Показать устаревшее имя файла, если оно доступно (например, «D: \ Progra ~ 1 \»), и указать CODEPAGE
используется в системе Windows, создающей этот файл INFO2. Любые кодировки, поддерживаемые
Iconv(1) можно использовать, хотя для максимальной точности результатов имени файла это
лучше придерживаться кодовых страниц Microsoft (например, CP850 или CP1252 для западноевропейских
версия, CP932 для японского языка и т. д.).
Внимание: Этот параметр является обязательным, если файл INFO2 создается в Windows 98. Этот параметр
не существует в рифиути-висте.
-z, --местное время
Текущее время удаления в числовом часовом поясе локальной системы, в которой запущена программа. К
по умолчанию отображается время UTC, которое является значением времени, записанным в индексных файлах.
Используя приведенный выше пример Рождества, время для Берлина (без учета перехода на летнее время).
будет 2014-12-25T16: 00: 00 + 0100 в формате ISO 8601.
Внимание: Можно использовать любой часовой пояс по выбору пользователя, установив $ TZ
переменная окружения, хотя и не рекомендуется. Видеть ОКРУЖАЮЩАЯ СРЕДА ПЕРЕМЕННЫЕ .
внизу.
ОБЫЧНАЯ ТЕКСТ ВЫВОД ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-t, - разделитель=STRING
Строка для использования в качестве разделителя (по умолчанию TAB). Несколько экранированных символов
распознано: \ r (ВОЗВРАТ ПЕРЕВОЗКИ), \ n (НОВАЯ СТРОКА), \ t (TAB), \ f (ФОРМА ПОДАЧИ), \ v
(ВЕРТИКАЛЬНАЯ ВКЛАДКА), \ e (ESCAPE)
-n, - без заголовка
Не отображать имя пути корзины, версию и заголовок для каждого поля
-8, - всегда-utf8
Всегда отображать результат в кодировке UTF-8
РАЗНОЕ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
-v, --версия
Распечатать информацию о версии и выйти.
-h, --Помогите
Показать параметры справки и выйти.
--help-all
Показать все варианты справки и выйти.
--help-текст
Показать параметры вывода обычного текста и выйти.
ПРИМЕРЫ
rifiuti-vista -x -z -o result.xml \ case \ S-1-2-3 \
Сканировать файлы индекса в \ case \ S-1-2-3 \, настроить все время удаления на местное время
зона и записать вывод XML в result.xml
rifiuti-vista -n -8 \ case \ S-1-2-3 \
Показывать на экране результат с разделителями табуляции в кодировке UTF-8 без заголовка
rifiuti-vista -t '\ r \ n' \ case \ S-1-2-3 \ $ IF96NJ3.rtf
Анализируйте только один индексный файл и печатайте каждое поле в отдельной строке
rifiuti -t ',' -o result.csv INFO2
Измените результат с разделителем-табуляцией на разделенный запятыми и напишите в result.csv
rifiuti -l CP1255 -8 -n ИНФО2
Прочтите INFO2 из еврейской версии Windows, отобразите имена файлов 8.3 на экране в
Кодировка UTF-8 без заголовка
ОКРУЖАЮЩАЯ СРЕДА ПЕРЕМЕННЫЕ
Следующие переменные среды влияют на выполнение программы:
СИМВОЛ, LC_CTYPE
Если путь корзины содержит символы, отличные от ASCII, эти переменные влияют на то, как они
отображаются. Системам с поддержкой UTF-8 рекомендуется установить CHARSET = UTF-8 или использовать
соответствующие значения UTF-8 для LC_CTYPE явно, иначе путь может отображаться
в последовательностях универсальных символьных имен, например \ u1234.
РИФИУТИ_ДЕБУГ
Установка любого непустого значения приведет к тому, что программы будут печатать больше отладки.
вывод в stderr.
TZ
Если не пусто, укажите часовой пояс, указанный пользователем, когда -z опция используется. Как обычно
информация о часовом поясе получается из системы, и нет необходимости устанавливать это
Переменная. Однако его можно использовать как средство для временного изменения часового пояса.
для некоторых программ, которые можно использовать для таких ситуаций, как построение временной шкалы
мероприятие.
Это значение зависит от ОС. Например, для часового пояса в Лос-Анджелесе значение для
Windows - «PST8PDT», тогда как соответствующее значение в Linux будет
«Америка / Лос-Анджелес». Пожалуйста, обратитесь к руководству по вашей операционной системе для получения дополнительной информации.
Информация.
См. ОШИБКИ раздел ниже, чтобы узнать о проблемах при использовании этой переменной.
ВЫХОД статус
Обе программы возвращают 0 в случае успеха и> 0 в случае ошибки.
Однако рифиути-перспектива более снисходительна: она все равно возвращает успех, если некоторые (не все) из
индексные файлы недействительны.
ИСТОРИЯ
Рифиути2 это переписать мусор, инструмент идентичного назначения, написанный Foundstone, который
позже был куплен McAfee. Цитата с оригинальной страницы FoundStone:
Многие расследования компьютерных преступлений требуют реконструкции объекта
Корзина. Поскольку этот метод анализа выполняется регулярно, мы исследовали
структура данных, находящихся в файлах репозитория корзины (файлы INFO2).
Rifiuti, итальянское слово, означающее «мусор», было разработано для изучения содержимого
файл INFO2 в корзине. ... Rifiuti создан для работы с несколькими
платформ и будет выполняться в Windows (через Cygwin), Mac OS X, Linux и * BSD
платформ.
Однако, поскольку исходная версия Rifiuti (последнее обновление 2004 г.) не может анализировать мусорную корзину из любых
локализованная версия Windows (только на английском языке), эта попытка переписать
преодолеть ограничение. Позже в rifiuti2 была добавлена поддержка формата Vista.
корзина, вывод XML и другие дополнительные функции, недоступные в исходной версии.
Воспользуйтесь рифьюти-виста онлайн с помощью сервисов onworks.net
