Це сортувальник команд, який можна запустити в безкоштовному хостинг-провайдері OnWorks за допомогою однієї з наших безкоштовних онлайн-робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
сортувальник - сортує файли зображення за категоріями на основі типу файлу
СИНТАКСИС
[-б розмір ] [-e] [-E] [-год] [-l] [-md5] [-s] [-sha1] [-U] [-v] [-V] [-а hash_alert ] [-c
конфиг ] [-C конфиг ] [-д реж ] [-м мнт ] [-н nsrl_db ] [-x hash_exclude ] [-і imgtype]
[-або imgoffset] [-f fstype] зображення [картина] [meta_addr]
ОПИС
сортувальник це сценарій Perl, який аналізує файлову систему для організації виділених і
нерозподілені файли за типом файлу. Він запускає команду 'file' для кожного файлу та організовує
файли відповідно до правил у файлах конфігурації. Невідповідність розширення також виконується
для визначення «прихованих» файлів. Можна також надати хеш-бази даних для відомих файлів
бути хорошими та їх можна ігнорувати, а файли, які завідомо є поганими та про які слід попередити.
За замовчуванням програма використовує конфігураційні файли в каталозі, де знаходиться The Sleuth Kit
було встановлено. Їх можна відхилити за допомогою параметрів часу виконання. Є стандарт
конфігураційний файл для всіх типів файлових систем, а потім конкретний для даної операції
системи.
АРГУМЕНТИ
Необхідні аргументи наступні. Це проаналізує одне або кілька зображень і будь-яке
зберегти результати в каталозі '-d' або вивести результати в STDOUT (якщо задано '-l').
-d dir Вказує розташування, куди мають бути записані всі файли. Це включає індекс
файлів і підкаталогів, якщо задано позначку '-s'. Це ПОВИННО бути надано, якщо тільки
Позначено позначку списку '-l'.
-l Перевести інформацію до STDOUT (файли ніколи не записуються). Це корисно для
Реагування на інциденти з використанням «netcat». Це не можна використовувати, якщо використовується '-d'.
зображення [зображення]
Образ диска або розділу для читання, формат якого вказується за допомогою '-i'. Кілька
імена файлів зображень можна дати, якщо зображення розділене на кілька сегментів. Якщо
надається лише один файл зображення, і його ім’я є першим у послідовності (наприклад, as
позначене закінченням ".001"), будуть включені наступні сегменти зображення
автоматично.
Варіанти такі:
-f тип fs
Укажіть тип файлової системи зображення(ів). Це той самий тип, що й The
Sleuth Kit використовує.
-i тип зображення
Вкажіть тип образу, в якому знаходиться файлова система. Це той самий тип
який використовує The Sleuth Kit.
-o imgoffset
Вкажіть зміщення сектора від початку зображення до початку файлу
системи.
- розмір b
Вкажіть мінімальний розмір файлу для обробки. Усі файли менше цього розміру будуть
ігнорується.
-c конфігурація
Вкажіть розташування додаткового конфігураційного файлу. Цей файл буде завантажено
на додаток до стандартних у каталозі встановлення. Ці налаштування будуть
мають пріоритет над стандартними файлами.
-C конфігурація
Вкажіть розташування ТІЛЬКИ файлу конфігурації. Стандартні конфігураційні файли
не буде завантажено, якщо вказано цей параметр. Наприклад, у «share/sort».
у каталозі є файл під назвою "images.sort". Цей файл містить лише правила
про графічні зображення. Якщо вказано за допомогою -C, буде збережено лише зображення
про зображення.
-m mnt Вказати точку монтування аналізованого образу. Це тільки для косметики
причини. Коли записи у вихідних файлах будуть записані, файли матимуть a
повний шлях замість просто відносного шляху. Якщо це дається, то тільки один
зображення можна надати.
-hash_alert
Укажіть розташування хеш-бази даних із записами відомих «поганих» файлів. Якщо хто-небудь
знайдено файл із хеш-значенням MD5 у цій базі даних, його буде розміщено в a
спеціальний файл попередження. Ця база даних має бути проіндексована для MD5 за допомогою 'hfind'
Набір Sleuth до того, як його використає сортувальник.
-n nsrl_db
Укажіть розташування Національної довідкової бібліотеки програмного забезпечення NIST (NSRL)
бази даних (www.nsrl.nist.org). Будь-який файл, знайдений у NSRL, ігноруватиметься
розміщено в категорії. База даних має бути проіндексована для MD5 з 'hfind' у The
Sleuth Kit перед використанням сортувальником. Наразі викликається файл бази даних
"NSRLFile.txt".
-x hash_exclude
Укажіть розташування хеш-бази даних із записами відомих «хороших» файлів. Якщо хто-небудь
у цій базі даних знайдено файл із хеш-значенням MD5, він ігноруватиметься
оброблено або збережено у файли категорії. Ця база даних має бути проіндексована для
MD5 використовує 'hfind' у The Sleuth Kit, перш ніж його використовуватиме сортувальник.
-e Виконати перевірку невідповідності розширень (файли індексу категорії не генеруються)
-U Не зберігати дані про невідомі типи файлів. За замовчуванням створюється «невідомий» файл
для файлів, у яких невідомий результат 'file'. Це дозволяє вдосконалювати їх
конфігурація. Якщо це небажано, використовуйте цей прапорець.
-h Створити файли категорій у HTML
-md5 Обчислити значення MD5 для кожного файлу та зберегти його у файлі категорії. Це буде
виконується автоматично, коли надається будь-яка з баз даних.
-sha1 Обчислити значення SHA-1 для кожного файлу та зберегти його у файлі категорії.
-s Зберегти фактичний вміст файлу до підкаталогів у каталозі, визначеному '-d'.
Наприклад, усі файли JPG і GIF фактично будуть збережені в "зображеннях"
каталог. Якщо також задано '-h', також створюються мініатюри графічних зображень.
-v Показати докладну інформацію
-V Версія дисплея.
[meta_addr]
Адреса метаданих каталогу для початку. За замовчуванням корінь
використовується каталог. Якщо це задано, то можна надати лише одне зображення.
ВИСОКИЙ РІВЕНЬ ОГЛЯД OF ПРОЦЕС
сортувальник це сценарій Perl, який взаємодіє з іншими інструментами The Sleuth Kit. Це починається з
читання файлів конфігурації з каталогу інсталяції. Є заг
файл конфігурації та окремий для кожної операційної системи. Конкретний є
визначається з прапора '-f'. Кожен файл конфігурації містить правила обробки
вихід команди 'file'. Один тип лінії визначає, яка категорія (тобто «зображення»)
даний вивід «файлу» належить (тобто «даним зображення») (з використанням регулярних виразів).
Інше правило показує розширення файлів (тобто .txt), які належать до виводу «файл» (тобто
ASCII(.*?)текст). Див. розділ Правила нижче.
Потім програма запускає інструмент «fls» у The Sleuth Kit, щоб ідентифікувати файли у файлі
образ системи. Кожен ідентифікований файл переглядається за допомогою інструмента 'icat'. Якщо хеш база даних
задано, хеш файлу обчислюється та шукається. Якщо його знайдено в "сповіщенні"
базу даних, потім вона додається до спеціального файлу alert.txt. Якщо він знайдений в NSRL або
«виключити» базу даних, тоді вона ігнорується як завідомо справний файл. Виключені файли записуються
у файлі "виключення" для подальшого використання, але він не зберігається у файлах категорії.
Потім виконується команда file для визначення типу файлу (на основі інформації заголовка).
Правила файлу конфігурації використовуються для визначення категорії, до якої він належить. Вхід
додається до відповідного файлу категорії (у каталозі '-d dir'). Якщо прапор "-s".
надано, тоді копія файлу зберігається у підкаталозі з тим же ім’ям, що й
категорія. Якщо використовується формат HTML, то гіперпосилання дозволять легко переглядати
збережені файли та переглянути вміст у кожній категорії.
Файли, які не мають категорії, записуються в категорії «невідомі» та «дані»
категорія. 'data' призначено для файлів зі структурою, яку 'file' не знає, а 'unknown' є
для файлів зі структурою, про яку знає 'file'. Вони збережені для використання в майбутньому,
але невідому категорію можна проігнорувати за допомогою прапора '-U'.
Копію файлів можна зберегти за допомогою прапорця '-s'. Якщо так, то файли збережено
у підкаталозі, який має назву категорії. Кожен файл називається за допомогою файлу
ім’я образу системи, за яким слідує адреса метаданих і оригінальне розширення файлу. The
файл індексу категорії можна використовувати для перекладу фактичної назви на збережену назву. HTML
формат полегшує перегляд, оскільки є посилання на кожен файл із файлу покажчика категорії.
Програма також ознайомиться з правилами щодо розширення файлу. Якщо файл має
розширення в кінці (будь-що після ´.´), воно порівнюватиметься з правилами. Якщо
розширення не знайдено в правилах як дійсне розширення для типу файлу, воно буде
додано до файлу "невідповідність". Якщо файл не має розширення, його не буде
вводиться, навіть якщо тип файлу має дійсні розширення. Ця перевірка виконується, навіть якщо файл
знайдено в одній із добре відомих хеш-баз даних. Якщо він знайдеться в одному з них, він буде
додається в спеціальний файл. Файли типу "data" не перевіряють розширення за замовчуванням
(оскільки вони мають невідому структуру).
Програма повторює описані вище процедури, також використовуючи вихідні дані команди 'ils'.
Це дозволяє сортувальнику перевіряти вміст нерозподілених файлів, які все ще мають покажчики
до блоків даних (не всі файлові системи створюватимуть дані з цього кроку).
КОНФІГУРАЦІЯ ФАЙЛИ
Конфігураційні файли використовуються для визначення того, які типи файлів належать до яких категорій і до чого
до яких типів файлів належать розширення. Конфігураційні файли поширюються разом з
інструмент «sorter» і знаходяться в каталозі встановлення в «share/sorter»
каталог.
Файл 'default.sort' використовується будь-яким типом файлової системи. Він містить записи для загальних
типи файлів. Також існує спеціальний файл операційної системи, який корисний для розширень
які є специфічними для даної ОС. За замовчуванням це файл за замовчуванням і файл, що відповідає ОС
буде використано. Використовуючи прапорець '-c', можна використовувати додатковий файл. Якщо встановлено прапор "-C".
використовується, тоді використовується лише наданий файл конфігурації.
У конфігураційних файлах є два типи правил. Кожне правило починається із заголовка, який
визначає тип правила (категорія чи розширення). Обидва типи правил мають два додаткових
стовпці, які можна розділити будь-яким пробілом.
Правило категорії містить назву категорії як другий стовпець і регулярний вираз Perl
у третій колонці. Назва категорії не може містити пробілів і може бути лише
букви і цифри. Регулярний вираз використовується для перевірки результату 'file'. The
регулярний вираз використовуватиметься без урахування регістру. Для a може існувати більше одного правила
категорія, але лише одна категорія може існувати для даного вихідного файлу. Наприклад:
Це зберігає весь вихідний файл із «даними зображення» будь-де в ньому до категорії «зображення»:
категорія зображень дані зображення
Це зберігає всі виведені файли, які містять «ASCII», за яким слідує будь-що, а потім «текст».
збережено в категорію "текст":
текст категорії ASCII(.*?)текст
Це зберігає всі виведені файли, які є лише «даними», у категорії «дані» (визначають ^ і $
межі в Perl). Значення 'data' є загальним у виводі файлу для невідомого
двійкові дані.
дані категорії ^дані?
Існує спеціальна категорія «ігнорувати», яка використовується для пропуску файлів цього типу.
Це в основному економія часу та місця.
Правило розширення подібне, за винятком того, що другий стовпець містить розширення значення
вихідний файл. Для одного типу файлу може існувати декілька правил. Порівняння буде
виконано без урахування регістру. Якщо для типу файлу немає допустимого розширення, правило не потрібне
бути зробленим. Це вже передбачається.
Наприклад, ASCII використовується для кількох розширень файлів, тому наступні правила можуть
існують:
ext txt,log ASCII(.*?)текст
ext c,cpp,h,js ASCII(.*?)текст
Будь ласка, надішліть мені будь-які правила, які ви вважаєте корисними для стандартних розслідувань, і я надішлю
включити їх у майбутні випуски (перевізник на sleuthkit dot org).
ПРИКЛАДИ
Щоб запустити сортувальник без хеш-баз даних, можна використати наступне:
# сортувальник -f ntfs -d дані/сортувальник зображень/hda1.dd
# сортувальник -d дані/сортувальник зображень/hda1.dd
# sorter -i raw -f ntfs -o 63 -d data/sorter images/hda.dd
Щоб включити NSRL, виключення та хеш-базу даних сповіщень:
# sorter -f ntfs -d data/sorter -a /usr/hash/rootkit.db -x /usr/hash/win2k.db
-n /usr/hash/nsrl/NSRLFile.txt images/hda1.dd
Щоб просто визначити зображення за допомогою наданого файлу 'images.sort':
# sorter -f ntfs -C /usr/local/sleuthkit/share/sort/images.sort -d data/sorter -h
-s images/hda1.dd
ВИМОГИ
NIST National Software Reference Library (NSRL) можна знайти на www.nsrl.nist.gov.
Використовуйте сортувальник онлайн за допомогою сервісів onworks.net
