描述：

  将磁盘映像中的MAC时间收集到主体文件中。
  tsk_gettimes检查磁盘映像中的每个文件系统，并以MACtime主体格式返回有关它们的数据（与在每个文件系统上运行’fls -m’相同）。 它的输出可以用作mactime的输入，以建立文件活动的时间表。 数据被打印到STDOUT，然后可以将其重定向到文件。

参数如下：

-v
	详细输出到stderr

-V
	打印版本信息

-f fstype
	指定文件系统类型。 使用“ -f列表”列出支持的文件系统类型。 如果未给出，则使用自动检测方法。

-i imgtype
	图像文件的格式，如raw。使用'-i list'列出支持的类型。如果没有给出，使用自动检测方法。

-b dev_sector_size
	设备扇区的大小(以字节计)。如果没有给出，使用自动检测方法。

-o sector_offset
	如果没有给定要恢复的卷(只恢复该卷)的扇区偏移量，将尝试恢复映像中的所有卷并将它们保存到不同的文件夹。

-s seconds
	原始系统的时间偏差（以秒为单位）。 例如，如果原始系统的速度慢了100秒，则该值为-100。

-z zone
	原始系统时区的ASCII字符串。例如，EST或GMT。这些字符串必须由您的操作系统定义，并且可能有所不同。

image [images]
	要读取的磁盘或分区映像，其格式用'-i'表示。如果图像被分割成多个段，可以给出多个图像文件名。如果只给出一个图像文件，并且它的名称是序列中的第一个(例如，以'.001'结尾)，则将自动包含后续图像段。

例

收集