Carving file entries from images/ dumps/ byte files. Recovers FN atr, giving std info.
Example used on $MFT dump
Just download Python 3.0 and higher. For safety purpuse use this script on files. If u want to access whole disk - use comand line as Admin and instead of @filename@ use "\\.\E: " or "\.\physicaldrive0" as an example. U can also use full path to the file.
py carver.py filenameКарвинг файловых записей из образов/дампов/бинарников . Восстановление FN атрибута, STANDART_INFORMATION и времени доступа.
В экспериментальной части НИР была использована копия $MFT
Скачайте Python 3.0 и выше. В целях безопасности используйте этот скрипт для файлов. Если вы хотите получить доступ ко всему диску - используйте командную строку в качестве администратора и вместо @ filename @ используйте "\\.\E:" или "\.\physicaldrive0" Также можно использовать полный путь к файлу. README в браузере обрезает \ в названии пути к диску. Для корректности - скачайте этот файл и просмотрите из текстового редактора.
py carver.py filename