فارز - عبر الإنترنت في السحابة

برنامج:

اسم

فارز - فرز الملفات في صورة إلى فئات بناءً على نوع الملف

موجز

[-ب المقاس ] [-ه] [-ه] [-ح] [-ل] [-md5] [-س] [-sha1] [-U] [-الخامس] [-الخامس] [-أ hash_alert ] [-ج
التكوين ] [-ج التكوين ] [-د دير ] [-م كزاز ] [-ن nsrl_db ] [-س hash_exclude ] [-أنا نوع الصورة]
[-أو [imgoffset] [-F fstype] صورة [صورة] [meta_addr]

الوصف

مصنف الرسائل هو سكربت Perl يحلل نظام ملفات لتنظيم ملفات
الملفات غير المخصصة حسب نوع الملف. يقوم بتشغيل الأمر "ملف" على كل ملف وينظم ملف
الملفات وفقًا للقواعد الموجودة في ملفات التكوين. يتم أيضًا عدم تطابق الامتداد
لتحديد الملفات "المخفية". يمكن للمرء أيضًا توفير قواعد بيانات التجزئة للملفات المعروفة
أن تكون جيدة ويمكن تجاهلها والملفات التي من المعروف أنها سيئة ويجب تنبيهها.

بشكل افتراضي ، يستخدم البرنامج ملفات التكوين في الدليل حيث The Sleuth Kit
تم تثبيته. يمكن إبطال هذه الخيارات مع خيارات وقت التشغيل. هناك معيار
ملف التكوين لجميع أنواع أنظمة الملفات ثم ملفًا محددًا لتشغيل معين
نظام.

الحجج

الحجج المطلوبة هي كما يلي. سيؤدي ذلك إلى تحليل صورة واحدة أو أكثر وإما
احفظ النتائج في الدليل "-d" أو قم بإدراج النتائج في STDOUT (إذا تم إعطاء "-l").

-d dir حدد مكان كتابة جميع الملفات. يتضمن هذا الفهرس
الملفات والمجلدات الفرعية إذا تم إعطاء علامة "-s". يجب إعطاء هذا ، ما لم يكن
يتم إعطاء علامة قائمة "-l".

-l قائمة المعلومات إلى STDOUT (لم تتم كتابة أي ملفات على الإطلاق). هذا مفيد ل
الاستجابة للحوادث باستخدام "netcat". لا يمكن استخدام هذا إذا تم استخدام "-d".

صورة [صور]
القرص أو صورة القسم المراد قراءتها ، والتي يُعطى تنسيقها بالرمز "-i". عديد
يمكن إعطاء أسماء ملفات الصور إذا تم تقسيم الصورة إلى مقاطع متعددة. لو
تم إعطاء ملف صورة واحد فقط ، واسمه هو الأول في تسلسل (على سبيل المثال ، as
المشار إليها بالنهاية بـ ".001") ، سيتم تضمين مقاطع الصور اللاحقة
تلقائيا.

الخيارات كالتالي:

-f نوع
حدد نوع نظام الملفات للصورة (الصور). هذا هو نفس نوع ملف
يستخدم سوث كيت.

-أنا إمغتيبي
حدد نوع الصورة التي يوجد بها نظام الملفات. هذا هو نفس النوع
التي يستخدمها The Sleuth Kit.

-يا إيمجوفست
حدد إزاحة القطاع من بداية الصورة إلى بداية الملف
نظام.

-ب الحجم
حدد الحد الأدنى لحجم الملف المراد معالجته. ستكون جميع الملفات الأقل من هذا الحجم
تجاهلها.

-c التكوين
حدد موقع ملف التكوين الإضافي. سيتم تحميل هذا الملف
بالإضافة إلى المعايير الموجودة في دليل التثبيت. هذه الإعدادات سوف
لها الأولوية على الملفات القياسية.

-C التكوين
حدد موقع ملف التكوين الوحيد. ملفات التكوين القياسية
لن يتم تحميلها إذا تم إعطاء هذا الخيار. على سبيل المثال ، في "مشاركة / فرز"
الدليل يوجد ملف يسمى "images.sort". هذا الملف يحتوي على قواعد فقط
حول الصور الرسومية. إذا تم تحديده بـ -C ، فسيتم حفظ الصور فقط
عن الصورة.

-m mnt حدد نقطة تركيب الصورة الجاري تحليلها. هذا فقط لمستحضرات التجميل
أسباب. عندما تتم كتابة الإدخالات في ملفات الإخراج ، سيكون للملفات ملحق
المسار الكامل بدلاً من المسار النسبي فقط. إذا تم إعطاء هذا ، فعندئذٍ واحد فقط
يمكن إعطاء الصورة.

-تجزئة
حدد موقع قاعدة بيانات التجزئة بإدخالات الملفات "السيئة" المعروفة. لو اي
تم العثور على ملف بقيمة MD5 في قاعدة البيانات هذه ، وسيتم وضعه في ملف
ملف تنبيه خاص. يجب فهرسة قاعدة البيانات هذه لـ MD5 باستخدام "hfind" في
طقم النجاة قبل أن يستخدمه فارز الفرز.

-ن nsrl_db
حدد موقع NIST National Software Reference Library (NSRL)
قاعدة البيانات (www.nsrl.nist.org). سيتم تجاهل أي ملف موجود في NSRL وليس
وضعت في فئة. يجب فهرسة قاعدة البيانات لـ MD5 مع "hfind" في
طقم التحري قبل أن يستخدمه فارز الفرز. يسمى ملف قاعدة البيانات حاليًا
"NSRLFile.txt".

-x hash_exclude
حدد موقع قاعدة بيانات التجزئة مع إدخالات الملفات "الجيدة" المعروفة. لو اي
تم العثور على ملف بقيمة MD5 في قاعدة البيانات هذه ، وسيتم تجاهله وليس
معالجتها أو حفظها في ملفات الفئة. يجب أن تكون قاعدة البيانات هذه مفهرسة لـ
MD5 باستخدام "hfind" في The Sleuth Kit قبل أن يستخدمه فارز الفرز.

- أجرِ عمليات تحقق من عدم تطابق الامتدادات (لم يتم إنشاء ملفات فهرس للفئات)

-U لا تقم بحفظ البيانات حول أنواع الملفات غير المعروفة. بشكل افتراضي ، يتم إنشاء ملف "غير معروف"
للملفات التي يكون فيها إخراج "الملف" غير معروف. هذا يسمح للمرء بتحسين
إعدادات. إذا لم يكن هذا مرغوبًا ، فاستخدم هذه العلامة.

-h إنشاء ملفات فئة بتنسيق HTML

-md5 احسب قيمة MD5 لكل ملف واحفظه في ملف الفئة. هذا سوف
يتم إجراؤها تلقائيًا عند تقديم أي من قواعد البيانات.

-sha1 احسب قيمة SHA-1 لكل ملف واحفظه في ملف الفئة.

-s حفظ محتوى الملف الفعلي في الدلائل الفرعية في الدليل المحدد بواسطة "-d".
على سبيل المثال ، سيتم بالفعل حفظ جميع ملفات JPG و GIF في "الصور"
الدليل. إذا تم إعطاء "-h" أيضًا ، فسيتم أيضًا إنشاء صور مصغرة للصور الرسومية.

-v عرض معلومات مطولة

-V عرض الإصدار.

[meta_addr]
عنوان البيانات الوصفية للدليل الذي ستبدأ به. افتراضيا ، الجذر
الدليل مستخدم. إذا تم تقديم هذا ، فيمكن إعطاء صورة واحدة فقط.

مستوى عال نبذة عامة OF PROCESS

مصنف الرسائل هو نص برل بيرل يتفاعل مع أدوات The Sleuth Kit الأخرى. يبدأ بـ
قراءة ملفات التكوين من دليل التثبيت. هناك جنرال
ملف التكوين وملف محدد لكل نظام تشغيل. المحدد هو
محدد من علامة "-f". يحتوي كل ملف تكوين على قواعد لمعالجة ملف
إخراج الأمر "ملف". أحد أنواع الخطوط يحدد الفئة (أي "الصور")
ينتمي ناتج "ملف" معين إلى (أي "بيانات الصورة") (باستخدام التعبيرات العادية).
تعرض قاعدة أخرى امتدادات الملفات (مثل .txt) التي تنتمي إلى إخراج "ملف" (على سبيل المثال
نص ASCII (. *؟)). راجع قسم القواعد أدناه.

يقوم البرنامج بعد ذلك بتشغيل أداة 'fls' في The Sleuth Kit لتحديد الملفات الموجودة في الملف
صورة النظام. يتم عرض كل ملف محدد باستخدام أداة "icat". إذا كانت قاعدة بيانات التجزئة
يتم احتساب تجزئة الملف والبحث عنها. إذا تم العثور عليه في "تنبيه"
قاعدة البيانات ، ثم يتم إضافتها إلى ملف خاص "alert.txt". إذا تم العثور عليه في NSRL أو
قاعدة بيانات 'استبعاد' ، ثم يتم تجاهلها كملف جيد معروف. يتم تسجيل الملفات المستبعدة
في ملف "استبعاد" للرجوع إليه في المستقبل ولكن لا يتم حفظه في ملفات الفئات.

ثم يتم تشغيل الأمر "ملف" لتحديد نوع الملف (بناءً على معلومات الرأس).
تُستخدم قواعد ملف التكوين لتحديد الفئة التي ينتمي إليها. إدخال
يضاف إلى ملف الفئة المقابل (في الدليل "-d dir"). إذا كانت علامة "-s"
يتم إعطاؤه ، ثم يتم حفظ نسخة من الملف في دليل فرعي يحمل نفس اسم ملف
فئة. إذا تم استخدام تنسيق HTML ، فستسمح الروابط التشعبية لأحد بعرضها بسهولة
الملفات المحفوظة وعرض ما هو موجود في كل فئة.

يتم تسجيل الملفات التي ليس لها فئة في فئة "غير معروف" و "البيانات"
فئة. "البيانات" للملفات ذات البنية التي لا يعرفها "الملف" و "غير معروف"
للملفات ذات البنية التي يعرفها "الملف". يتم حفظها للرجوع إليها في المستقبل ،
ولكن يمكن تجاهل الفئة غير المعروفة باستخدام علامة "-U".

يمكن حفظ نسخة من الملفات باستخدام علامة "-s". إذا كان الأمر كذلك ، فسيتم حفظ الملفات
في دليل فرعي يسمى باسم الفئة. يتم تسمية كل ملف باستخدام الملف
اسم صورة النظام متبوعًا بعنوان البيانات الوصفية وامتداد الملف الأصلي. ال
يمكن استخدام ملف فهرس الفئة لترجمة الاسم الفعلي إلى الاسم المحفوظ. HTML
يجعل التنسيق العرض أسهل حيث توجد روابط لكل ملف من ملف فهرس الفئات.

سيقوم البرنامج أيضًا باستشارة القواعد المتعلقة بامتداد الملف. إذا كان الملف يحتوي على ملف
التمديد في نهايته (أي شيء بعد ´.´) ، ستتم مقارنته بالقواعد. لو
لم يتم العثور على الامتداد في القواعد كملحق صالح لنوع الملف ، فسيكون
تمت إضافته إلى ملف "عدم التطابق". إذا كان الملف لا يحتوي على امتداد فلن يكون
تم إدخالها حتى إذا كان نوع الملف به امتدادات صالحة. يتم إجراء هذا الفحص حتى لو كان الملف
موجود في إحدى قواعد بيانات التجزئة الجيدة المعروفة. إذا تم العثور عليه في واحدة من هؤلاء ، فإنه سوف
تضاف إلى ملف خاص. الملفات من نوع "البيانات" لا يتم إجراؤها بشكل افتراضي
(لأن لديهم بنية غير معروفة).

يكرر البرنامج الإجراءات المذكورة أعلاه باستخدام إخراج الأمر "ils" أيضًا.
يسمح هذا لـ "فارز" بفحص محتويات الملفات غير المخصصة التي لا تزال تحتوي على مؤشرات
إلى وحدات البيانات (لن تنتج جميع أنظمة الملفات بيانات من هذه الخطوة).

CONFIGURATION FILES

تُستخدم ملفات التكوين لتحديد أنواع الملفات التي تنتمي إلى الفئات وماذا
تنتمي الامتدادات إلى أنواع الملفات. يتم توزيع ملفات التكوين بامتداد
أداة 'Sorter' وموجودة في دليل التثبيت في 'share / Sorter'
الدليل.

يتم استخدام ملف "default.sort" بواسطة أي نوع من أنواع أنظمة الملفات. يحتوي على مداخل للمشترك
أنواع الملفات. يوجد أيضًا ملف نظام تشغيل محدد ، وهو مفيد للامتدادات
الخاصة بنظام تشغيل معين. بشكل افتراضي ، الملف الافتراضي والملف المحدد لنظام التشغيل
سوف يستخدم. باستخدام علامة "-c" ، يمكن استخدام ملف إضافي. إذا كانت العلامة "-C" هي
مستخدمًا ، فسيتم استخدام ملف التكوين المقدم فقط.

هناك نوعان من القواعد في ملفات التكوين. كل قاعدة تبدأ برأس ذلك
يحدد نوع القاعدة (فئة أو تحويلة). كلا النوعين من القواعد لهما نوعان إضافيان
الأعمدة التي يمكن فصلها بأي مسافة بيضاء.

قاعدة الفئة لها اسم الفئة كالعمود الثاني والتعبير العادي لـ Perl
في العمود الثالث. لا يمكن أن يحتوي اسم الفئة على أي مسافات ويمكن أن يكون كذلك
الحروف والأرقام. يتم استخدام التعبير النمطي لفحص إخراج "ملف". ال
سيتم استخدام التعبير العادي غير حساس لحالة الأحرف. يمكن أن توجد أكثر من قاعدة واحدة لملف
فئة ، ولكن يمكن أن توجد فئة واحدة فقط لإخراج ملف معين. على سبيل المثال:

يؤدي هذا إلى حفظ جميع مخرجات الملف مع "بيانات الصورة" في أي مكان بداخله إلى فئة "الصور":
فئة الصور بيانات الصورة

يؤدي هذا إلى حفظ جميع مخرجات الملفات التي تحتوي على "ASCII" متبوعًا بأي شيء ثم "نص"
تم الحفظ في فئة "النص":
نص الفئة ASCII (. *؟) نص

يؤدي هذا إلى حفظ جميع مخرجات الملفات التي هي مجرد "بيانات" في فئة "البيانات" (تعريف ^ و $
الحدود في بيرل). قيمة "البيانات" شائعة في إخراج الملف للمجهول
البيانات الثنائية.
بيانات الفئة ^ البيانات؟

هناك فئة خاصة من "التجاهل" تُستخدم لتخطي الملفات من هذا النوع.
هذا هو في الأساس توفير الوقت والمساحة.

قاعدة الامتداد متشابهة فيما عدا أن العمود الثاني يحتوي على امتدادات القيمة لـ
إخراج الملف. يمكن أن توجد قواعد متعددة لنوع الملف نفسه. ستكون المقارنة
فعلت غير حساس لحالة الأحرف. إذا لم يكن هناك امتداد صالح لنوع الملف ، فلن تحتاج القاعدة
لصنعه. هذا مفترض بالفعل.

على سبيل المثال ، يتم استخدام ASCII للعديد من امتدادات الملفات بحيث يمكن للقواعد التالية
يوجد:

تحويل النص إلى نص ، سجل نص ASCII (. *؟)
نص ext c ، cpp ، h ، js ASCII (. *؟)

يرجى مراسلتي عبر البريد الإلكتروني بأي قواعد تجدها مفيدة للتحقيقات القياسية وسأفعل ذلك
دمجها في الإصدارات المستقبلية (الناقل في sleuthkit dot org).

أمثلة

لتشغيل فارز بدون قواعد بيانات تجزئة ، يمكن استخدام ما يلي:

# Sorter -f ntfs -d data / Sorter images / hda1.dd
# Sorter -d data / Sorter images / hda1.dd

# Sorter -i raw -f ntfs -o 63 -d data / Sorter images / hda.dd

لتضمين NSRL ، واستثناء ، وقاعدة بيانات تجزئة التنبيه:

# فارز -f ntfs -d بيانات / فارز -a /usr/hash/rootkit.db -x /usr/hash/win2k.db
-n /usr/hash/nsrl/NSRLFile.txt images / hda1.dd

لتحديد الصور فقط باستخدام ملف "images.sort" المقدم:

# فارز -f ntfs -C /usr/local/sleuthkit/share/sort/images.sort -d data / Sorter -h
-s الصور / hda1.dd

المتطلبات

يمكن العثور على مكتبة NIST National Software Reference Library (NSRL) على www.nsrl.nist.gov.

استخدم فارز الإنترنت باستخدام خدمات onworks.net