C forensic 文件系统
The Sleuth Kit 是一个致力于分析微软和 Unix 文件系统及硬盘的开源取证工具库。The Sleuth Kit 采用 C 语言实现核心引擎,目前已添加 C++ 封装,支持对包括 Berkeley Fast File System(FFS),Extended 2 File System(Ext2FS),File Allocation Table(FAT),和 New Technologies File System(NTFS) 等在内的几大文件系统的遍历、快照等操作,可以获取文件系统中存在的、删除的、损坏的文件的全部或部分信息。
SleuthKit 已经提供了基于该工具库的许多命令行工具实现,如 ffind,fls, blkls,blkcat,mmls 等支持文件节点遍历、文件元信息获取等等操作。如果你仅仅是做做实验什么的,相信这些命令行工具已经基本能够满足你的需求了。
SleuthKit 还提供了基于该工具库的桌面文件系统审计工具 Autospy,有兴趣的同学可以安装试试看。
当然,The Sleuth Kit 的设计初衷还是作为一个工具库为他人所用。我们可以将该工具库集成到自己的项目中,实现文件系统相关的操作。如我们可以基于该库实现一个简单实用的文件恢复工具,可用于恢复最近被彻底删除的文件,亲测易实现、效果好。