INDXParse 技术文档

1. 安装指南

1.1 环境要求

在安装和使用 INDXParse 之前，请确保您的系统满足以下要求：

• Python 3.x
• 010 Editor（可选，用于解析 INDX 文件模板）

1.2 安装步骤

1. 克隆 INDXParse 项目到本地：

   git clone https://github.com/your-repo/INDXParse.git
   

2. 进入项目目录：

   cd INDXParse
   

3. 确保 Python 环境已安装，并运行以下命令检查依赖项：

   pip install -r requirements.txt
   

2. 项目的使用说明

2.1 基本使用

INDXParse 是一个用于解析 NTFS 文件系统中 INDX 文件的工具。INDX 文件包含目录中每个文件的记录，记录包括文件名、文件大小、时间戳等信息。

2.2 命令行参数

INDXParse 支持以下命令行参数：

• -h：显示帮助信息。
• -c：输出 CSV 格式（默认）。
• -b：输出 Bodyfile 格式。
• -d：解析 INDX 文件中的 slack space（空闲空间）。

2.3 示例

1. 解析 INDX 文件并输出 CSV 格式：

   python INDXParse.py -c input_file
   

2. 解析 INDX 文件并输出 Bodyfile 格式：

   python INDXParse.py -b input_file
   

3. 解析 INDX 文件中的 slack space：

   python INDXParse.py -d input_file
   

3. 项目 API 使用文档

3.1 主要功能

INDXParse 提供了以下主要功能：

• 解析 INDX 文件中的文件记录。
• 支持 CSV 和 Bodyfile 两种输出格式。
• 解析 INDX 文件中的 slack space，以恢复已删除或旧的记录。

3.2 输出格式

• CSV 格式：包含文件名、物理大小、逻辑大小、修改时间戳、访问时间戳、更改时间戳、创建时间戳等字段。
• Bodyfile 格式：适用于时间线分析，包含类似的信息。

3.3 错误处理

• 如果解析文件名时出错，文件名字段将包含最佳猜测，并标记为 (error decoding filename)。
• 如果解析时间戳时出错，将输出 UNIX 纪元时间戳。

4. 项目安装方式

4.1 通过 Git 安装

1. 克隆项目仓库：

   git clone https://github.com/your-repo/INDXParse.git
   

2. 进入项目目录并安装依赖：

   cd INDXParse
   pip install -r requirements.txt
   

4.2 通过手动下载安装

1. 从 GitHub 下载项目 ZIP 文件并解压。
2. 进入解压后的目录并安装依赖：

   pip install -r requirements.txt
   

4.3 使用 010 Editor 模板

INDXParse 提供了一个 010 Editor 模板文件 INDXTemplate.bt，您可以通过 010 Editor 应用该模板来解析 INDX 文件。

---

通过本文档，您应该能够顺利安装并使用 INDXParse 工具来解析 NTFS 文件系统中的 INDX 文件。如果您在使用过程中遇到任何问题，请参考项目的 GitHub Wiki 或联系项目贡献者。