介绍
Rifiuti2用于分析Windows回收站INFO2文件。Windows回收站的分析通常在Windows计算机取证期间执行。Rifiuti2可以提取文件删除时间,原始路径和已删除文件的大小以及是否已永久删除已删除的文件。
用法
rifiuti2被设计为可移植的,并在命令行环境中运行。根据相关的Windows回收站格式,有2个二进制文件可供选择(大多数用户需要第一个):
| 程序 | 从OS回收站 | 目的 |
| rifiuti-vista | Vista - Win10 | 扫描\$Recycle.bin样式文件夹 |
| rifiuti | Win95 - XP / 2003 | 读取INFO或INFO2存档\RECYCLED或\RECYCLER文件夹 |
以下是一些更常用的选项:
选项 | 目的 |
-o <FILE> | 输出到文件 |
-x | 输出XML而不是制表符分隔的字段 |
-l <CP> | 显示旧版(8.3)文件名并指定其代码页 |
例子rifiuti-vista.exe -x -z -o result.xml \case\S-1-2-3\
扫描索引文件\case\S-1-2-3\,调整本地时区的所有删除时间,并将XML输出写入result.xml
rifiuti -l CP932 -t "\n" INFO2
假设从日语Windows(代码页932)生成INFO2文件,并逐行显示每个字段,而不是由制表符分隔
支持的平台
它已经在Linux,Windows 7和FreeBSD上进行了测试。大端平台上的一些测试是使用Qemu仿真器完成的。
下载apt-get https://github.com/abelcheung/rifiuti2./configure && make check && make install
文章来源及下载:
https://github.com/abelcheung/rifiuti2
你可能喜欢
文章来源: https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&amp;mid=2650456412&amp;idx=4&amp;sn=5d60011c210ed81d7ecc26eab10797f6&amp;chksm=83bba4b8b4cc2dae2b8139493fbbe684da479e1398ee44abdace88c1a0ae5383bd9eebb9a5e3#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh