bodyfile

著名mactime bodyfile格式的解析器和生成器

文档

来自 https://wiki.sleuthkit.org/index.php?title=Body_file 的引用

body文件是在创建文件活动时间线时的中间文件。它是一个用管道符 "|" 分隔的文本文件，其中包含每行一个文件（或其他偶类型，如日志或注册表键）。fls, ils, 和 mac-robber 工具都输出这种数据格式。mactime 工具读取此文件并排序内容（因此该格式有时也称为“mactime格式”）。

在TSK 3.0+中的body文件格式与TSK 1.X和2.X中使用的格式不同。

3.X输出具有以下字段

MD5|name|inode|mode_as_string|UID|GID|size|atime|mtime|ctime|crtime

时间以UNIX时间格式报告。以“#”开头的行被忽略并视为注释。在mactime中，许多这些字段是可选的。其唯一要求是至少有一个时间值不为零。非时间值按原样打印。其他读取此文件格式的工具可能有不同的要求。

此crate实现了bodyfile行的生成和解析

示例

use bodyfile::Bodyfile3Line;
use std::convert::TryFrom;

let str_line = "0|/Users/Administrator ($FILE_NAME)|93552-48-2|d/drwxrwxrwx|0|0|92|1577092511|1577092511|1577092511|-1";
let bf_line = Bodyfile3Line::try_from(str_line).unwrap();
assert_eq!(str_line, bf_line.to_string());

许可证：GPLv3