RawCopy:解锁无法访问的文件复制
项目介绍
RawCopy 是一款功能强大的控制台应用程序,它通过使用低级磁盘读取方法,帮助用户复制 NTFS 卷上的文件。这项工具特别适用于复制因系统锁定而无法正常访问的文件,例如系统注册表的 hive 文件(如 SYSTEM 和 SAM),"System Volume Information" 中的文件,pagefile.sys 或文件系统上的任何文件。
项目技术分析
RawCopy 支持两种文件指定方式:完整文件路径或 $MFT 记录号(索引号)。其命令行参数包括:
/ImageFile::指定要从中提取的映像文件的完整路径和文件名。/ImageVolume:指定要从中提取的卷号。/FileNamePath:指定要提取的文件的完整路径和文件名,也可以是 Volume:MftRef 的形式。/OutputPath:指定输出文件的路径。/OutputName:指定输出文件名,若未指定,则默认为原始文件名。/AllAttr:布尔标志,用于触发所有属性的提取。/RawDirMode:目录列表模式,可选值为 0(无打印)、1(详细打印)和 2(基本打印)。/WriteFSInfo:布尔标志,用于写入包含一些卷信息的文件到指定的输出目录中的 VolInfo.txt。/TcpSend:布尔标志,用于指示输出应通过网络发送。
RawCopy 不兼容 Windows 2000/NTFS 3.0,但提供了特殊版本以支持这些系统。
项目及技术应用场景
RawCopy 的设计初衷是为了解决在正常操作系统中无法复制特定文件的问题。以下是一些典型的应用场景:
- 系统文件复制:复制被系统锁定的文件,如注册表的 hive 文件。
- 影子副本访问:在映像文件中访问影子副本并提取文件。
- 底层磁盘操作:在未挂载的设备上访问文件,如 HarddiskVolume1 或 PhysicalDrive1。
- 网络文件传输:将文件通过 TCP 发送到网络上的另一台计算机。
项目特点
以下是 RawCopy 的一些显著特点:
- 低级磁盘读取:通过直接读取磁盘,绕过系统锁定。
- 灵活的文件指定方式:支持路径和索引号两种方式指定文件。
- 丰富的命令行参数:提供多种参数以满足不同场景的需求。
- 网络传输功能:支持将文件通过 TCP 发送到其他计算机。
- 跨版本兼容:虽然不兼容 Windows 2000/NTFS 3.0,但提供了特殊版本支持。
以下是一些使用示例:
-
复制休眠文件并保存到指定路径:
RawCopy.exe /FileNamePath:C:\hiberfil.sys /OutputPath:E:\output /OutputName:hiberfil_c.sys -
复制系统注册表的 SYSTEM hive 文件:
RawCopy.exe /FileNamePath:C:\WINDOWS\system32\config\SYSTEM /OutputPath:E:\output -
通过索引号复制 $MFT 并重命名输出文件:
RawCopy.exe /FileNamePath:C:0 /OutputName:MFT_C.bin -
提取并复制包含所有属性的 MFT 引用文件:
RawCopy.exe /FileNamePath:C:30224 /OutputPath:C:\tmp /AllAttr:1 -
从磁盘映像中提取文件:
RawCopy.exe /ImageFile:e:\temp\diskimage.dd /ImageVolume:2 /FileNamePath:c:2 /OutputPath:e:\out -
在网络中发送文件:
RawCopy.exe /FileNamePath:c:\$LogFile /TcpSend:1 /OutputPath:10.10.10.10:6666
RawCopy 作为一款开源工具,以其独特的功能和灵活性,为用户提供了在特定场景下复制文件的强大能力。无论是系统管理员还是安全分析师,都可以从中受益,解决日常工作中遇到的问题。如果你经常需要处理无法正常复制的文件,RawCopy 将是一个不可多得的助手。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
