Это сортировщик команд, который можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
Сортировщик - сортировка файлов изображения по категориям в зависимости от типа файла.
СИНТАКСИС
[-б размер ] [-е] [-Е] [-час] [-л] [-md5] [-с] [-ша1] [-У] [-в] [-В] [-а hash_alert ] [-с
конфиг ] [-С конфиг ] [-д директория ] [-м мнт ] [-н нсрл_дб ] [-Икс hash_exclude ] [-я тип изображения]
[-или же imgoffset] [-ф fstype] изображение [Image] [мета_адрес]
ОПИСАНИЕ
сортировщик это сценарий Perl, который анализирует файловую систему для организации выделенных и
нераспределенные файлы по типу файла. Он запускает команду file для каждого файла и организует
файлы согласно правилам в файлах конфигурации. Несоответствие расширений также сделано
для определения «скрытых» файлов. Также можно предоставить хэш-базы данных для файлов, которые известны
должны быть хорошими и могут быть проигнорированы, и файлы, которые заведомо плохие, о которых следует предупреждать.
По умолчанию программа использует файлы конфигурации из каталога, в котором находится The Sleuth Kit.
был установлен. Их можно отменить с помощью параметров времени выполнения. Есть стандарт
файл конфигурации для всех типов файловых систем, а затем - конкретный для данной операционной системы.
системы.
АРГУМЕНТЫ
Необходимые аргументы следующие. Это проанализирует одно или несколько изображений и либо
сохранить результаты в каталоге '-d' или перечислить результаты в STDOUT (если задано '-l').
-d каталог Укажите место, куда должны быть записаны все файлы. Это включает индекс
файлы и подкаталоги, если указан флаг '-s'. Это ДОЛЖНО быть дано, если только
Дан флаг списка '-l'.
-l Вывести информацию в STDOUT (файлы никогда не записываются). Это полезно для
Реагирование на инциденты с использованием netcat. Это не может быть использовано, если используется '-d'.
изображение [изображения]
Читаемый образ диска или раздела, формат которого задается с помощью '-i'. Несколько
Имена файлов изображений могут быть даны, если изображение разбито на несколько сегментов. Если
дается только один файл изображения, и его имя является первым в последовательности (например, как
обозначены окончанием на '.001'), последующие сегменты изображения будут включены
автоматически.
Возможны следующие варианты:
-f тип файла
Укажите тип файловой системы изображений. Это тот же тип, что и
Sleuth Kit использует файлы.
-i тип изображения
Укажите тип образа, в котором расположена файловая система. Это того же типа
что использует The Sleuth Kit.
-о imgoffset
Укажите смещение сектора от начала изображения до начала файла
системы.
-b размер
Укажите минимальный размер файла для обработки. Все файлы меньше этого размера будут
игнорируются.
-c конфигурация
Укажите расположение дополнительного файла конфигурации. Этот файл будет загружен
в дополнение к стандартным в каталоге установки. Эти настройки будут
имеют приоритет над стандартными файлами.
-C конфигурация
Укажите местоположение ЕДИНСТВЕННОГО файла конфигурации. Стандартные файлы конфигурации
не будет загружен, если задана эта опция. Например, в «поделиться / сортировать»
В каталоге есть файл с именем images.sort. Этот файл содержит только правила
насчет графических изображений. Если он указан с -C, то будут сохранены только изображения.
по поводу изображения.
-m mnt Укажите точку подключения анализируемого образа. Это только для косметики
причины. Когда записи в выходных файлах записываются, файлы будут иметь
полный путь, а не только относительный путь. Если это дано, то только один
изображение может быть дано.
-a hash_alert
Укажите расположение хеш-базы данных с записями об известных «плохих» файлах. Если есть
файл найден с хеш-значением MD5 в этой базе данных, он будет помещен в
специальный файл предупреждений. Эта база данных должна быть проиндексирована для MD5 с использованием "hfind" в
Комплект Сыщика до того, как он будет использован сортировщиком.
-n нсрл_дб
Укажите расположение Национальной справочной библиотеки программного обеспечения NIST (NSRL)
база данных (www.nsrl.nist.org). Любой файл, найденный в NSRL, будет проигнорирован и не
помещен в категорию. База данных должна быть проиндексирована для MD5 с помощью 'hfind' в
Sleuth Kit до того, как он будет использован сортировщиком. Файл базы данных в настоящее время называется
"NSRLFile.txt".
-x хэш_исключение
Укажите расположение хэш-базы данных с записями заведомо «хороших» файлов. Если есть
файл найден с хеш-значением MD5 в этой базе данных, он будет проигнорирован, а не
обработаны или сохранены в файлы категорий. Эта база данных должна быть проиндексирована для
MD5 с использованием hfind в The Sleuth Kit до того, как он будет использован сортировщиком.
-e Выполнять проверку несоответствия расширений (файлы индекса категорий не создаются)
-U Не сохранять данные о неизвестных типах файлов. По умолчанию создается "неизвестный" файл.
для файлов, для которых неизвестен вывод «файла». Это позволяет уточнить их
конфигурация. Если это нежелательно, используйте этот флаг.
-h Создать файлы категорий в HTML
-md5 Вычислить значение MD5 для каждого файла и сохранить его в файле категории. Это будет
делаться автоматически при предоставлении любой из баз данных.
-sha1 Вычислить значение SHA-1 для каждого файла и сохранить его в файле категории.
-s Сохранить фактическое содержимое файла в подкаталогах в каталоге, указанном параметром '-d'.
Например, все файлы JPG и GIF будут фактически сохранены в «изображениях».
каталог. Если также указан «-h», также создаются эскизы графических изображений.
-v Показать подробную информацию
-V Показать версию.
[мета_адрес]
Адрес метаданных каталога, с которого нужно начать. По умолчанию корень
каталог используется. Если это дано, то может быть дано только одно изображение.
ВЫСОКИЙ УРОВЕНЬ О проекте OF ПРОЦЕСС ПРОЕКТИРОВАНИЯ
сортировщик это сценарий Perl, который взаимодействует с другими инструментами The Sleuth Kit. Это начинается с
чтение файлов конфигурации из установочного каталога. Есть генерал
файл конфигурации и отдельный для каждой операционной системы. Конкретный -
определяется флагом '-f'. Каждый файл конфигурации содержит правила обработки
вывод команды 'file'. Строка одного типа определяет, какая категория (например, "изображения")
данный "файловый" вывод принадлежит (например, "данным изображения") (с использованием регулярных выражений).
Другое правило показывает расширения файлов (например, .txt), которые принадлежат выходу «файл» (т.е.
ASCII (. *?) Текст). См. Раздел «Правила» ниже.
Затем программа запускает инструмент fls в The Sleuth Kit, чтобы идентифицировать файлы в файле.
системный образ. Каждый идентифицированный файл просматривается с помощью инструмента icat. Если хеш-база данных
дается, вычисляется и просматривается хэш файла. Если он обнаружен в "предупреждении"
база данных, то она добавляется в специальный файл alert.txt. Если он найден в NSRL или
'exclude', то он игнорируется как заведомо исправный файл. Исключенные файлы записываются
в файле "exclude" для использования в будущем, но он не сохраняется в файлах категорий.
Затем запускается команда «файл» для определения типа файла (на основе информации заголовка).
Правила файла конфигурации используются для определения того, к какой категории он принадлежит. Вход
добавляется в соответствующий файл категории (в каталог '-d dir'). Если флаг '-s'
дается, то копия файла сохраняется в подкаталоге с тем же именем, что и
категория. Если используется формат HTML, то гиперссылки позволят легко просматривать
сохраненные файлы и просмотрите, что находится в каждой категории.
Файлы, не имеющие категории, записываются в категорию «неизвестно» и «данные».
категория. "данные" предназначены для файлов со структурой, которую "файл" не знает, а "неизвестно" -
для файлов со структурой, о которой знает "файл". Они сохранены для использования в будущем,
но неизвестную категорию можно игнорировать, используя флаг '-U'.
Копию файлов можно сохранить с помощью флага «-s». Если да, то файлы сохраняются
в подкаталоге с именем категории. Каждый файл назван с использованием файла
имя образа системы, за которым следует адрес метаданных и исходное расширение файла. В
индексный файл категории может использоваться для перевода фактического имени в сохраненное имя. HTML
формат упрощает просмотр, поскольку есть ссылки на каждый файл из файла индекса категории.
Программа также проконсультируется с правилами о расширении файла. Если файл имеет
расширение в конце (что-либо после «.»), оно будет сравниваться с правилами. Если
расширение не найдено в правилах как допустимое расширение для типа файла, оно будет
добавлен в файл «несоответствие». Если файл не имеет расширения, он не будет
вводится, даже если тип файла имеет допустимые расширения. Эта проверка выполняется, даже если файл
находится в одной из известных хороших хэш-баз данных. Если он будет найден в одном из них, он будет
быть добавленным в специальный файл. Файлы типа "данные" по умолчанию не проверяются на расширение.
(поскольку они имеют неизвестную структуру).
Программа повторяет описанные выше процедуры, используя также вывод команды ils.
Это позволяет "сортировщику" проверять содержимое нераспределенных файлов, которые все еще имеют указатели.
в блоки данных (не все файловые системы будут создавать данные на этом этапе).
КОНФИГУРАЦИЯ FILES
Файлы конфигурации используются для определения того, какие типы файлов относятся к каким категориям и к каким категориям.
расширения принадлежат к какому типу файлов. Файлы конфигурации распространяются с
'sorter' и находятся в каталоге установки в 'share / sorter'
каталог.
Файл default.sort используется файловыми системами любого типа. Он содержит записи для общих
типы файлов. Также существует специальный файл операционной системы, который полезен для расширений.
специфичные для данной ОС. По умолчанию файл по умолчанию и файл для конкретной ОС
будет использоваться. Используя флаг '-c', можно использовать дополнительный файл. Если флаг '-C' установлен
используется, то используется только предоставленный файл конфигурации.
В файлах конфигурации есть два типа правил. Каждое правило начинается с заголовка, который
указывает, какой это тип правила (категория или доб). У обоих типов правил есть два дополнительных
столбцы, которые можно разделить любым пробелом.
Правило категории имеет имя категории во втором столбце и регулярное выражение Perl.
в третьем столбце. Название категории не может содержать пробелов и может быть только
буквы и цифры. Регулярное выражение используется для проверки вывода файла. В
регулярное выражение будет использоваться без учета регистра. Для
категория, но для данного выходного файла может существовать только одна категория. Например:
Это сохраняет весь выходной файл с «данными изображения» в любом месте в категории «изображения»:
категория изображения данные изображения
Это сохраняет весь выходной файл, в котором есть ASCII, за которым следует что-либо, а затем текст, чтобы быть
сохранены в категории "текст":
текст категории Текст ASCII (. *?)
Это сохраняет весь выходной файл, который является просто «данными», в категорию «данные» (символы ^ и $ определяют
границы в Perl). Значение 'data' является обычным при выводе файла для неизвестных
двоичные данные.
категория данные ^ данные?
Существует специальная категория игнорирования, которая используется для пропуска файлов этого типа.
Это в основном экономия времени и места.
Правило расширения аналогично, за исключением того, что во втором столбце есть расширения значений для
файл вывода. Для одного и того же типа файла может существовать несколько правил. Сравнение будет
сделано без учета регистра. Если для типа файла нет расширения, правило не требуется.
быть произведенным. Это уже предполагается.
Например, ASCII используется для нескольких расширений файлов, поэтому следующие правила могут
существовать:
ext txt, записать текст ASCII (. *?)
ext c, cpp, h, js текст ASCII (. *?)
Пожалуйста, напишите мне любые правила, которые вы сочтете полезными для стандартных расследований, и я
включить их в будущие выпуски (оператор в sleuthkit dot org).
ПРИМЕРЫ
Чтобы запустить сортировщик без хэш-баз данных, можно использовать следующее:
# sorter -f ntfs -d data / sorter images / hda1.dd
# sorter -d data / sorter images / hda1.dd
# sorter -i raw -f ntfs -o 63 -d data / sorter images / hda.dd
Чтобы включить NSRL, исключение и базу данных хэшей предупреждений:
# sorter -f ntfs -d data / sorter -a /usr/hash/rootkit.db -x /usr/hash/win2k.db
-n /usr/hash/nsrl/NSRLFile.txt изображения / hda1.dd
Чтобы просто идентифицировать изображения с помощью прилагаемого файла images.sort:
# sorter -f ntfs -C /usr/local/sleuthkit/share/sort/images.sort -d data / sorter -h
-s images / hda1.dd
ТРЕБОВАНИЯ
Национальную справочную библиотеку программного обеспечения NIST (NSRL) можно найти на сайте www.nsrl.nist.gov.
Используйте сортировщик онлайн с помощью сервисов onworks.net