Rifiuti2 一款分析Windows回收站INFO2文件工具
介绍
Rifiuti2用于分析Windows回收站INFO2文件。Windows回收站的分析通常在Windows计算机取证期间执行。Rifiuti2可以提取文件删除时间,原始路径和已删除文件的大小以及是否已永久删除已删除的文件。
用法
rifiuti2被设计为可移植的,并在命令行环境中运行。根据相关的Windows回收站格式,有2个二进制文件可供选择(大多数用户需要第一个):
| 程序 | 从OS回收站 | 目的 |
| rifiuti-vista | Vista - Win10 | 扫描$Recycle.bin样式文件夹 |
| rifiuti | Win95 - XP / 2003 | 读取INFO或INFO2存档RECYCLED或RECYCLER文件夹 |
以下是一些更常用的选项:
|
选项 |
目的 |
|
-o <FILE> |
输出到文件 |
|
-x |
输出XML而不是制表符分隔的字段 |
|
-l <CP> |
显示旧版(8.3)文件名并指定其代码页 |
例子rifiuti-vista.exe -x -z -o result.xml caseS-1-2-3
扫描索引文件caseS-1-2-3,调整本地时区的所有删除时间,并将XML输出写入result.xml
rifiuti -l CP932 -t "n" INFO2
假设从日语Windows(代码页932)生成INFO2文件,并逐行显示每个字段,而不是由制表符分隔
支持的平台
它已经在Linux,Windows 7和FreeBSD上进行了测试。大端平台上的一些测试是使用Qemu仿真器完成的。
下载apt-get https://github.com/abelcheung/rifiuti2./configure && make check && make install
文章来源及下载:
https://github.com/abelcheung/rifiuti2
文章来源于网络,如有侵权,请联系删除。
官方 