Jest to sortownik poleceń, który można uruchomić w bezpłatnym dostawcy hostingu OnWorks przy użyciu jednej z naszych wielu bezpłatnych stacji roboczych online, takich jak Ubuntu Online, Fedora Online, emulator online systemu Windows lub emulator online systemu MAC OS
PROGRAM:
IMIĘ
sorter — sortuje pliki obrazu w kategorie w oparciu o typ pliku
STRESZCZENIE
[-B rozmiar ] [-mi] [-MI] [-H] [-l] [-md5] [-S] [-sha1] [-U] [-v] [-V] [-A hash_alert ] [-C
config ] [-C config ] [-D reż ] [-M mnt ] [-N nsrl_db ] [-X hash_exclude ] [-ja typ obrazu]
[-lub przesunięcie obrazu] [-F fstyp] obraz [Obrazek] [adres_meta]
OPIS
sortuje to skrypt Perla, który analizuje system plików w celu uporządkowania przydzielonych plików i
nieprzydzielone pliki według typu pliku. Uruchamia polecenie „plik” na każdym pliku i porządkuje
zgodnie z zasadami zawartymi w plikach konfiguracyjnych. Następuje również niedopasowanie rozszerzeń
do identyfikacji „ukrytych” plików. Można również udostępnić bazy danych skrótów dla znanych plików
są dobre i można je zignorować, oraz pliki, o których wiadomo, że są złe i należy je ostrzec.
Domyślnie program korzysta z plików konfiguracyjnych znajdujących się w katalogu, w którym znajduje się The Sleuth Kit
został zainstalowany. Można je zastąpić opcjami wykonawczymi. Istnieje norma
plik konfiguracyjny dla wszystkich typów systemów plików, a następnie plik specyficzny dla danej operacji
pomimo napiętego harmonogramu
ARGUMENTY
Wymagane argumenty są następujące. Spowoduje to analizę jednego lub większej liczby obrazów i jednego z nich
zapisz wyniki w katalogu „-d” lub wypisz wyniki na STDOUT (jeśli podano „-l”).
-d katalog Określ lokalizację, w której mają być zapisywane wszystkie pliki. Obejmuje to indeks
pliki i podkatalogi, jeśli podana jest flaga „-s”. MUSI to zostać podane, chyba że
Podawana jest flaga listy „-l”.
-l Wyświetla informacje na STDOUT (żadne pliki nie są nigdy zapisywane). Jest to przydatne dla
Reagowanie na incydenty za pomocą „netcat”. Nie można tego użyć, jeśli użyto „-d”.
obraz [obrazy]
Obraz dysku lub partycji do odczytania, którego format podano za pomocą '-i'. Wiele
nazwy plików obrazów można podać, jeśli obraz jest podzielony na wiele segmentów. Gdyby
podany jest tylko jeden plik obrazu, a jego nazwa jest pierwszą w sekwencji (np. as
oznaczone końcówką '.001'), kolejne segmenty obrazu zostaną uwzględnione
automatycznie.
Opcje są następujące:
-f typ fs
Określ typ systemu plików obrazów. Jest to ten sam typ co The
Używa zestawu Sleuth.
-i typ obrazu
Określ typ obrazu, w którym znajduje się system plików. To jest ten sam typ
którego używa Zestaw Sleuth.
-o przesunięcie img
Określ przesunięcie sektora od początku obrazu do początku pliku
pomimo napiętego harmonogramu
-b rozmiar
Określ minimalny rozmiar pliku do przetworzenia. Wszystkie pliki mniejsze niż ten rozmiar zostaną
ignorowane.
-c konfiguracja
Określ lokalizację dodatkowego pliku konfiguracyjnego. Ten plik zostanie załadowany
oprócz standardowych w katalogu instalacyjnym. Te ustawienia będą
mają pierwszeństwo przed plikami standardowymi.
-C konfiguracja
Określ lokalizację TYLKO pliku konfiguracyjnego. Standardowe pliki konfiguracyjne
nie zostanie załadowany, jeśli zostanie podana ta opcja. Na przykład w „udostępnij/sortuj”.
w katalogu znajduje się plik o nazwie „images.sort”. Ten plik zawiera tylko reguły
o obrazach graficznych. Jeśli zostanie określone z -C, zapisane zostaną tylko obrazy
o obrazie.
-m mnt Określ punkt montażu analizowanego obrazu. To tylko w celach kosmetycznych
powodów. Po zapisaniu wpisów w plikach wyjściowych pliki będą miały rozszerzenie
pełną ścieżkę, a nie tylko ścieżkę względną. Jeśli jest to podane, to tylko jedno
można dać zdjęcie.
-alarm_hash
Określ lokalizację bazy danych skrótów zawierającej wpisy znanych „złych” plików. Jeśli w ogóle
zostanie znaleziony w tej bazie danych plik z wartością skrótu MD5, zostanie on umieszczony w pliku
specjalny plik ostrzegawczy. Ta baza danych musiała zostać zindeksowana pod kątem MD5 przy użyciu polecenia „hfind” w
Zestaw Sleutha przed użyciem przez sortownika.
-n nsrl_db
Podaj lokalizację Narodowej Biblioteki Referencyjnej Oprogramowania NIST (NSRL)
baza danych (www.nsrl.nist.org). Każdy plik znaleziony w NSRL zostanie zignorowany
umieszczone w kategorii. Baza danych musi być zaindeksowana pod kątem MD5 za pomocą „hfind” w The
Zestaw Sleuth przed użyciem przez sortownika. Plik bazy danych jest aktualnie wywoływany
„NSRLFile.txt”.
-x wykluczenie_hash
Określ lokalizację bazy danych skrótów zawierającej wpisy znanych „dobrych” plików. Jeśli w ogóle
zostanie znaleziony w tej bazie danych plik z wartością skrótu MD5, zostanie on zignorowany
przetwarzane lub zapisywane w plikach kategorii. Ta baza danych musiała zostać zindeksowana
MD5 używający 'hfind' w The Sleuth Kit zanim zostanie użyte przez sortownik.
-e Wykonaj sprawdzanie zgodności rozszerzeń (nie są generowane żadne pliki indeksu kategorii)
-U Nie zapisuj danych o nieznanych typach plików. Domyślnie tworzony jest plik „nieznany”.
dla plików, których wynik „pliku” nie jest znany. Dzięki temu można je udoskonalić
konfiguracja. Jeśli nie jest to pożądane, użyj tej flagi.
-h Utwórz pliki kategorii w formacie HTML
-md5 Oblicz wartość MD5 dla każdego pliku i zapisz ją w pliku kategorii. To będzie
odbywać się automatycznie, gdy zostanie podana którakolwiek z baz danych.
-sha1 Oblicz wartość SHA-1 dla każdego pliku i zapisz ją w pliku kategorii.
-s Zapisz rzeczywistą zawartość pliku w podkatalogach w katalogu określonym przez „-d”.
Na przykład wszystkie pliki JPG i GIF zostaną faktycznie zapisane w „obrazach”
informator. Jeśli podano również „-h”, tworzone są także miniatury obrazów graficznych.
-v Wyświetl szczegółowe informacje
-V Wersja wyświetlacza.
[adres_meta]
Adres metadanych katalogu, od którego chcesz zacząć. Domyślnie root
używany jest katalog. Jeśli jest to podane, można podać tylko jeden obraz.
WYSOKI POZIOM INFORMACJE OGÓLNE OF PROCES
sortuje to skrypt Perla, który współdziała z innymi narzędziami zestawu Sleuth Kit. Zaczyna się od
odczytanie plików konfiguracyjnych z katalogu instalacyjnego. Jest generał
plik konfiguracyjny i osobny dla każdego systemu operacyjnego. Konkretny jest
określane na podstawie flagi „-f”. Każdy plik konfiguracyjny zawiera reguły przetwarzania
wynik polecenia „plik”. Jeden typ linii określa, która kategoria (tj. „obrazy”)
dany wynik „pliku” należy do (tj. „danych obrazu”) (używając wyrażeń regularnych).
Inna reguła pokazuje rozszerzenia plików (np. .txt), które należą do wyjścia „pliku” (tj
Tekst ASCII(.*?)). Zobacz sekcję Zasady poniżej.
Następnie program uruchamia narzędzie „fls” z zestawu Sleuth Kit w celu zidentyfikowania plików w pliku
obraz systemu. Każdy zidentyfikowany plik jest przeglądany za pomocą narzędzia „icat”. Jeśli baza danych skrótu
jest podany, skrót pliku jest obliczany i sprawdzany. Jeśli zostanie znaleziony w „alercie”
bazy danych, następnie jest ona dodawana do specjalnego pliku „alert.txt”. Jeśli zostanie znaleziony w NSRL lub
„wyklucz” bazę danych, wówczas jest ona ignorowana jako znany, dobry plik. Wykluczone pliki są rejestrowane
w pliku „wyklucz” do wykorzystania w przyszłości, ale nie jest on zapisywany w plikach kategorii.
Następnie uruchamiane jest polecenie „file” w celu zidentyfikowania typu pliku (na podstawie informacji z nagłówka).
Reguły pliku konfiguracyjnego służą do określenia, do której kategorii należy. Wejscie
jest dodawany do odpowiedniego pliku kategorii (w katalogu „-d dir”). Jeśli flaga „-s”.
zostanie podany, wówczas kopia pliku zostanie zapisana w podkatalogu o tej samej nazwie co plik
Kategoria. Jeśli używany jest format HTML, hiperłącza umożliwią łatwe przeglądanie
zapisane pliki i przeglądaj zawartość poszczególnych kategorii.
Pliki nie posiadające kategorii zapisywane są w kategorii „nieznane”, a w kategorii „dane”
Kategoria. „dane” dotyczą plików o strukturze, której „plik” nie zna, a „nieznana”.
dla plików o strukturze, o której wie „plik”. Są one zapisywane do wykorzystania w przyszłości,
ale nieznaną kategorię można zignorować, używając flagi „-U”.
Kopię plików można zapisać za pomocą flagi „-s”. Jeśli tak, pliki zostaną zapisane
w podkatalogu, którego nazwa zawiera nazwę kategorii. Każdy plik jest nazywany przy użyciu pliku
nazwa obrazu systemu, po której następuje adres metadanych i oryginalne rozszerzenie pliku. The
Plik indeksu kategorii można wykorzystać do przetłumaczenia rzeczywistej nazwy na zapisaną nazwę. HTML
format ułatwia przeglądanie, ponieważ istnieją łącza do każdego pliku z pliku indeksu kategorii.
Program sprawdzi także zasady dotyczące rozszerzenia pliku. Jeśli plik ma rozszerzenie
rozszerzenie na końcu (cokolwiek po „.”), zostanie porównane z regułami. Jeśli
rozszerzenie nie zostało znalezione w regułach jako prawidłowe rozszerzenie dla danego typu pliku, tak będzie
dodany do pliku „niezgodność”. Jeśli plik nie ma rozszerzenia, nie będzie
wprowadzone, nawet jeśli typ pliku ma prawidłowe rozszerzenia. To sprawdzenie jest wykonywane, nawet jeśli plik
można znaleźć w jednej ze znanych dobrych baz hash. Jeśli zostanie znaleziony w którymś z nich, tak się stanie
dodać do specjalnego pliku. Pliki typu „data” domyślnie nie są sprawdzane pod kątem rozszerzenia
(ponieważ mają nieznaną strukturę).
Program powtarza powyższe procedury, korzystając również z wyniku polecenia „ils”.
Pozwala to „sorterowi” sprawdzić zawartość nieprzydzielonych plików, które nadal mają wskaźniki
do jednostek danych (nie wszystkie systemy plików będą generować dane w tym kroku).
KONFIGURACJA AKTA
Pliki konfiguracyjne służą do definiowania, jakie typy plików należą do jakich kategorii i do czego
rozszerzenia należą do jakich typów plików. Pliki konfiguracyjne są dystrybuowane wraz z
„sorter” i znajdują się w katalogu instalacyjnym w folderze „share/sorter”
katalogiem.
Plik „default.sort” jest używany w dowolnym systemie plików. Zawiera wpisy dla typowych
typy plików. Istnieje również określony plik systemu operacyjnego, który jest przydatny w przypadku rozszerzeń
specyficzne dla danego systemu operacyjnego. Domyślnie plik domyślny i plik specyficzny dla systemu operacyjnego
będzie użyty. Używając flagi „-c”, można użyć dodatkowego pliku. Jeśli flaga „-C” to
używany, wówczas używany będzie wyłącznie dostarczony plik konfiguracyjny.
W plikach konfiguracyjnych występują dwa typy reguł. Każda reguła zaczyna się od nagłówka that
określa, jaki to typ reguły (kategoria lub wew). Obydwa typy reguł mają dwie dodatkowe
kolumny, które można oddzielić dowolną białą spacją.
Reguła kategorii ma nazwę kategorii w drugiej kolumnie i wyrażenie regularne Perla
w trzeciej kolumnie. Nazwa kategorii nie może zawierać spacji i może nią być tylko
litery i cyfry. Wyrażenie regularne służy do sprawdzania danych wyjściowych „pliku”. The
wyrażenie regularne będzie używane bez rozróżniania wielkości liter. Dla a. może istnieć więcej niż jedna reguła
kategorii, ale dla danego pliku wyjściowego może istnieć tylko jedna kategoria. Na przykład:
Spowoduje to zapisanie wszystkich plików wyjściowych zawierających „dane obrazu” w dowolnym miejscu w kategorii „obrazy”:
kategoria obrazów dane obrazu
Zapisuje to wszystkie dane wyjściowe plików, które zawierają „ASCII”, po którym następuje cokolwiek, a następnie „tekst”.
zapisano w kategorii „tekst”:
tekst kategorii Tekst ASCII(.*?).
Spowoduje to zapisanie wszystkich plików wyjściowych, które są po prostu „danymi”, w kategorii „dane” (definicje ^ i $
granice w Perlu). Wartość „dane” jest powszechna w wynikach pliku dla nieznanego
dane binarne.
dane kategorii ^dane?
Istnieje specjalna kategoria „ignorowania”, która służy do pomijania plików tego typu.
Jest to przede wszystkim oszczędność czasu i miejsca.
Reguła rozszerzenia jest podobna, z tą różnicą, że druga kolumna zawiera rozszerzenia wartości
wyjście pliku. Dla tego samego typu pliku może istnieć wiele reguł. Porównanie będzie
wykonane bez uwzględniania wielkości liter. Jeśli żadne rozszerzenie nie jest prawidłowe dla danego typu pliku, reguła nie jest potrzebna
być zrobionym. To już zostało przyjęte.
Na przykład kod ASCII jest używany w kilku rozszerzeniach plików, dlatego mogą obowiązywać następujące reguły
istnieć:
ext txt,log ASCII(.*?)tekst
ext c,cpp,h,js Tekst ASCII(.*?).
Prześlij mi e-mailem wszelkie zasady, które uznasz za przydatne w standardowych dochodzeniach, a ja to zrobię
włączyć je do przyszłych wydań (przewoźnik w sleuthkit dot org).
PRZYKŁADY
Aby uruchomić sorter bez baz haszujących, można zastosować:
# sorter -f ntfs -d dane/sorter obrazy/hda1.dd
# sorter -d dane/sorter obrazy/hda1.dd
# sorter -i raw -f ntfs -o 63 -d dane/sorter obrazy/hda.dd
Aby uwzględnić NSRL, wykluczenie i bazę danych skrótów alertów:
# sorter -f ntfs -d dane/sorter -a /usr/hash/rootkit.db -x /usr/hash/win2k.db
-n /usr/hash/nsrl/NSRLFile.txt obrazy/hda1.dd
Aby po prostu zidentyfikować obrazy za pomocą dostarczonego pliku „images.sort”:
# sorter -f ntfs -C /usr/local/sleuthkit/share/sort/images.sort -d data/sorter -h
-s obrazy/hda1.dd
WYMAGANIA
Narodową bibliotekę referencyjną oprogramowania NIST (NSRL) można znaleźć pod adresem www.nsrl.nist.gov.
Skorzystaj z sortera online, korzystając z usług onworks.net
