20个稳定版本 (4个主要版本)
| 4.2.3 | 2024年7月17日 |
|---|---|
| 4.2.1 | 2024年4月17日 |
| 4.0.2 | 2024年3月9日 |
| 4.0.1 | 2023年8月23日 |
| 0.1.1 | 2022年4月20日 |
#41 在 Windows API
每月498次下载
用于 3 crates
85KB
2K SLoC
nt_hive2
警告 该仓库中的工具已移动到 https://github.com/dfir-dd/dfir-toolkit
您可以通过运行
cargo install dfir-toolkit来安装工具lib本身将保持在此处可用
此crates旨在替代 https://github.com/ColinFinck/nt-hive,以下为差异点
- 使用 BinRead 解析hive文件
- 支持显示最后写入的时间戳
- 恢复已删除的单元格
开发者使用示例
use std::fs::File;
use nt_hive2::*;
#
let hive_file = File::open("tests/data/testhive")?;
let mut hive = Hive::new(hive_file)?;
let root_key = hive.root_key_node()?;
for sk in root_key.subkeys(&mut hive)?.iter() {
println!("\n[{}]; last written: {}", sk.borrow().name(), sk.borrow().timestamp());
for value in sk.borrow().values() {
println!("\"{}\" = {}", value.name(), value.value());
}
}
许可证: GPL-3.0
lib.rs:
此crates旨在替代 https://github.com/ColinFinck/nt-hive,以下为差异点
- 使用 BinRead 解析hive文件
- 支持显示最后写入的时间戳
- 可能恢复已删除的单元格(可能在将来添加)
使用示例
use std::fs::File;
use nt_hive2::*;
#
let hive_file = File::open("tests/data/testhive")?;
let mut hive = Hive::new(hive_file, HiveParseMode::NormalWithBaseBlock)?;
let root_key = hive.root_key_node()?;
for sk in root_key.subkeys(&mut hive)?.iter() {
println!("\n[{}]; last written: {}", sk.borrow().name(), sk.borrow().timestamp());
for value in sk.borrow().values() {
println!("\"{}\" = {}", value.name(), value.value());
}
}
依赖关系
~7.5MB
~204K SLoC