Đây là trình sắp xếp lệnh có thể chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình mô phỏng trực tuyến Windows hoặc trình mô phỏng trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
bộ sắp xếp - Sắp xếp các tệp trong hình ảnh thành các danh mục dựa trên loại tệp
SYNOPSIS
[-NS kích thước ] [-e] [-E] [-NS] [-l] [-md5] [-NS] [-sha1] [-U] [-v] [-V] [-Một hash_alert ] [-NS
cấu hình ] [-NS cấu hình ] [-NS dir ] [-NS mnt ] [-N nsrl_db ] [-NS băm_loại trừ ] [-tôi hình ảnh]
[-hoặc là imoffset] [-NS fstype] hình ảnh [hình ảnh] [meta_addr]
MÔ TẢ
người sắp xếp là một tập lệnh Perl phân tích một hệ thống tệp để tổ chức việc phân bổ và
các tập tin chưa được phân bổ theo loại tập tin. Nó chạy lệnh 'tệp' trên mỗi tệp và sắp xếp
các tập tin theo các quy tắc trong tập tin cấu hình. Phần mở rộng không khớp cũng được thực hiện
để xác định các tập tin 'ẩn'. Người ta cũng có thể cung cấp cơ sở dữ liệu băm cho các tệp đã biết
là tốt và có thể bị bỏ qua và các tệp được biết là xấu và cần được cảnh báo.
Theo mặc định, chương trình sử dụng các file cấu hình trong thư mục chứa The Sleuth Kit.
đã được cài đặt. Những điều đó có thể được ghi đè bằng các tùy chọn thời gian chạy. Có một tiêu chuẩn
tệp cấu hình cho tất cả các loại hệ thống tệp và sau đó là một tệp cụ thể cho một hệ điều hành nhất định.
hệ thống.
TRANH LUẬN
Các đối số cần thiết như sau. Điều này sẽ phân tích một hoặc nhiều hình ảnh và
lưu kết quả vào thư mục '-d' hoặc liệt kê kết quả vào STDOUT (nếu có '-l').
-d dir Chỉ định vị trí nơi tất cả các tệp sẽ được ghi. Điều này bao gồm chỉ số
các tập tin và thư mục con nếu cờ '-s' được đưa ra. Điều này PHẢI được đưa ra, trừ khi
Cờ danh sách '-l' được đưa ra.
-l Liệt kê thông tin vào STDOUT (không có tệp nào được ghi). Điều này hữu ích cho
Ứng phó sự cố bằng cách sử dụng 'netcat'. Điều này không thể được sử dụng nếu '-d' được sử dụng.
hình ảnh [hình ảnh]
Hình ảnh đĩa hoặc phân vùng để đọc, có định dạng được cung cấp bằng '-i'. Nhiều
tên tệp hình ảnh có thể được cung cấp nếu hình ảnh được chia thành nhiều đoạn. Nếu như
chỉ có một tệp hình ảnh được cung cấp và tên của nó là tệp đầu tiên trong một chuỗi (ví dụ:
được chỉ định bằng cách kết thúc bằng '.001'), các phân đoạn hình ảnh tiếp theo sẽ được bao gồm
tự động.
Các tùy chọn như sau:
-f fstype
Chỉ định loại hệ thống tệp của (các) hình ảnh. Đây là cùng loại với The
Công dụng của Sleuth Kit.
-i imgtype
Chỉ định loại hình ảnh mà hệ thống tập tin được đặt. Đây là loại tương tự
mà The Sleuth Kit sử dụng.
-o imoffset
Chỉ định phần bù của khu vực từ đầu hình ảnh đến đầu tệp
hệ thống.
-b kích thước
Chỉ định kích thước tối thiểu của tệp để xử lý. Tất cả các tập tin nhỏ hơn kích thước này sẽ được
mặc kệ.
-c cấu hình
Chỉ định vị trí của tệp cấu hình bổ sung. Tập tin này sẽ được tải
ngoài những cái tiêu chuẩn trong thư mục cài đặt. Những cài đặt này sẽ
được ưu tiên hơn các tập tin tiêu chuẩn.
-Cấu hình
Chỉ định vị trí của tệp cấu hình CHỈ. Các tập tin cấu hình tiêu chuẩn
sẽ không được tải nếu tùy chọn này được đưa ra. Ví dụ: trong `chia sẻ/sắp xếp'
thư mục có một tập tin gọi là 'images.sort'. Tập tin này chỉ chứa các quy tắc
về hình ảnh đồ họa. Nếu được chỉ định bằng -C thì chỉ hình ảnh sẽ được lưu
về tấm ảnh.
-m mnt Chỉ định điểm gắn kết của hình ảnh đang được phân tích. Cái này chỉ dành cho mỹ phẩm thôi
lý do. Khi các mục trong tệp đầu ra được ghi, các tệp sẽ có một
đường dẫn đầy đủ thay vì chỉ đường dẫn tương đối. Nếu điều này được đưa ra thì chỉ có một
hình ảnh có thể được đưa ra.
-a hash_alert
Chỉ định vị trí cơ sở dữ liệu băm với các mục nhập của tệp 'xấu' đã biết. Nếu có
tìm thấy tệp có giá trị băm MD5 trong cơ sở dữ liệu này, nó sẽ được đặt trong một
tập tin cảnh báo đặc biệt. Cơ sở dữ liệu này phải được lập chỉ mục cho MD5 bằng cách sử dụng 'hfind' trong
Bộ Sleuth trước khi được sử dụng bởi người phân loại.
-n nsrl_db
Chỉ định vị trí của Thư viện tham khảo phần mềm quốc gia NIST (NSRL)
cơ sở dữ liệu (www.nsrl.nist.org). Bất kỳ tệp nào được tìm thấy trong NSRL sẽ bị bỏ qua và không
được đặt vào một danh mục. Cơ sở dữ liệu phải được lập chỉ mục cho MD5 với 'hfind' trong The
Sleuth Kit trước khi nó được sử dụng bởi người phân loại. Tệp cơ sở dữ liệu hiện được gọi
'NSRLFile.txt'.
-x hash_exclude
Chỉ định vị trí cơ sở dữ liệu băm với các mục nhập của các tệp 'tốt' đã biết. Nếu có
được tìm thấy với giá trị băm MD5 trong cơ sở dữ liệu này, nó sẽ bị bỏ qua và không
được xử lý hoặc lưu vào các tập tin danh mục. Cơ sở dữ liệu này phải được lập chỉ mục cho
MD5 sử dụng 'hfind' trong The Sleuth Kit trước khi nó được máy phân loại sử dụng.
-e Thực hiện kiểm tra phần mở rộng không khớp (không có tệp chỉ mục danh mục nào được tạo)
-U Không lưu dữ liệu về các loại tệp không xác định. Theo mặc định, một tệp 'không xác định' được tạo
đối với các tệp không biết đầu ra 'tệp'. Điều này cho phép người ta tinh chỉnh
cấu hình. Nếu điều này không mong muốn, hãy sử dụng cờ này.
-h Tạo tệp danh mục trong HTML
-md5 Tính giá trị MD5 cho mỗi tệp và lưu nó vào tệp danh mục. Điều này sẽ
được thực hiện tự động khi bất kỳ cơ sở dữ liệu nào được cung cấp.
-sha1 Tính giá trị SHA-1 cho mỗi tệp và lưu nó vào tệp danh mục.
-s Lưu nội dung tệp thực tế vào các thư mục con trong thư mục được chỉ định bởi '-d'.
Ví dụ: tất cả các tệp JPG và GIF thực sự sẽ được lưu trong 'hình ảnh'
danh mục. Nếu '-h' cũng được đưa ra, hình thu nhỏ của hình ảnh đồ họa cũng được tạo.
-v Hiển thị thông tin dài dòng
-V Phiên bản hiển thị.
[meta_addr]
Địa chỉ dữ liệu meta của thư mục để bắt đầu. Theo mặc định, gốc
thư mục được sử dụng. Nếu điều này được đưa ra thì chỉ có thể đưa ra một hình ảnh.
CẤP ĐỘ CAO TỔNG QUAN OF QUY TRÌNH
người sắp xếp là một tập lệnh Perl tương tác với các công cụ The Sleuth Kit khác. Nó bắt đầu bằng
đọc các tập tin cấu hình từ thư mục cài đặt. Có một vị tướng
tập tin cấu hình và một tập tin cụ thể cho mỗi hệ điều hành. Cái cụ thể là
được xác định từ cờ '-f'. Mỗi tệp cấu hình chứa các quy tắc để xử lý
đầu ra của lệnh 'file'. Một loại dòng xác định danh mục nào (tức là 'hình ảnh')
đầu ra 'tệp' nhất định thuộc về (tức là `dữ liệu hình ảnh') (sử dụng biểu thức chính quy).
Một quy tắc khác hiển thị các phần mở rộng tệp (tức là .txt) thuộc về đầu ra 'tệp' (tức là
văn bản ASCII(.*?)). Xem phần Quy tắc bên dưới.
Sau đó chương trình chạy công cụ 'fls' trong The Sleuth Kit để nhận diện các file trong file
hình ảnh hệ thống. Mỗi tệp được xác định sẽ được xem bằng công cụ 'icat'. Nếu một cơ sở dữ liệu băm
được đưa ra, hàm băm của tệp được tính toán và tra cứu. Nếu nó được tìm thấy trong một 'cảnh báo'
cơ sở dữ liệu, sau đó nó được thêm vào tệp 'alert.txt' đặc biệt. Nếu nó được tìm thấy trong NSRL hoặc
'loại trừ' cơ sở dữ liệu thì nó sẽ bị bỏ qua như một tệp tốt đã biết. Các tập tin bị loại trừ được ghi lại
trong tệp 'loại trừ' để tham khảo sau này nhưng nó không được lưu trong tệp danh mục.
Sau đó, lệnh 'file' sẽ được chạy để xác định loại tệp (dựa trên thông tin tiêu đề).
Các quy tắc tệp cấu hình được sử dụng để xác định nó thuộc về loại nào. Một mục
được thêm vào tệp danh mục tương ứng (trong thư mục '-d dir'). Nếu cờ '-s'
được cung cấp, sau đó một bản sao của tệp sẽ được lưu trong thư mục con có cùng tên với tệp
loại. Nếu định dạng HTML được sử dụng thì các siêu liên kết sẽ cho phép người ta dễ dàng xem
các tập tin đã lưu và xem những gì trong mỗi danh mục.
Các tệp không có danh mục sẽ được ghi vào danh mục 'không xác định' và 'dữ liệu'
loại. 'dữ liệu' dành cho các tệp có cấu trúc mà 'tệp' không biết và 'không xác định' là
đối với các tệp có cấu trúc mà 'tệp' biết. Chúng được lưu lại để tham khảo trong tương lai,
nhưng danh mục không xác định có thể được bỏ qua bằng cách sử dụng cờ '-U'.
Bản sao của tệp có thể được lưu bằng cách sử dụng cờ '-s'. Nếu vậy thì các tập tin sẽ được lưu
trong thư mục con được đặt tên theo tên danh mục. Mỗi tệp được đặt tên bằng cách sử dụng tệp
tên hình ảnh hệ thống, theo sau là địa chỉ dữ liệu meta và phần mở rộng tệp gốc. Các
tệp chỉ mục danh mục có thể được sử dụng để dịch tên thật sang tên đã lưu. HTML
định dạng giúp xem dễ dàng hơn vì có liên kết đến từng tệp từ tệp chỉ mục danh mục.
Chương trình cũng sẽ tham khảo các quy định về phần mở rộng của tập tin. Nếu tập tin có
phần mở rộng ở cuối của nó (bất cứ điều gì sau `.`), nó sẽ được so sánh với các quy tắc. Nếu như
không tìm thấy tiện ích mở rộng trong quy tắc dưới dạng tiện ích mở rộng hợp lệ cho loại tệp, nó sẽ là
được thêm vào tệp 'không khớp'. Nếu tập tin không có phần mở rộng thì nó sẽ không được
được nhập ngay cả khi loại tệp có phần mở rộng hợp lệ. Việc kiểm tra này được thực hiện ngay cả khi tập tin
được tìm thấy ở một trong những cơ sở dữ liệu băm tốt được biết đến. Nếu nó được tìm thấy ở một trong số đó, nó sẽ
được thêm vào một tập tin đặc biệt. Các tệp thuộc loại 'dữ liệu' không được thực hiện kiểm tra tiện ích mở rộng theo mặc định
(vì chúng có cấu trúc chưa biết).
Chương trình cũng lặp lại các quy trình trên bằng cách sử dụng đầu ra của lệnh 'ils'.
Điều này cho phép 'bộ sắp xếp' kiểm tra nội dung của các tệp chưa được phân bổ mà vẫn có con trỏ
tới các đơn vị dữ liệu (không phải tất cả các hệ thống tệp sẽ tạo ra dữ liệu từ bước này).
CẤU HÌNH CÁC TẬP TIN
Các tệp cấu hình được sử dụng để xác định loại tệp nào thuộc về danh mục nào và những gì
phần mở rộng thuộc về loại tập tin nào. Các tập tin cấu hình được phân phối với
công cụ 'sorter' và nằm trong thư mục cài đặt trong 'share/sorter'
thư mục.
Tệp 'default.sort' được sử dụng bởi bất kỳ loại hệ thống tệp nào. Nó chứa các mục dành cho chung
loại tập tin. Một tệp hệ điều hành cụ thể cũng tồn tại, rất hữu ích cho các tiện ích mở rộng
dành riêng cho một hệ điều hành nhất định. Theo mặc định, tệp mặc định và tệp dành riêng cho hệ điều hành
sẽ được sử dụng. Sử dụng cờ '-c', có thể sử dụng một tệp bổ sung. Nếu cờ '-C' là
được sử dụng thì chỉ có tệp cấu hình được cung cấp mới được sử dụng.
Có hai loại quy tắc trong tệp cấu hình. Mỗi quy tắc bắt đầu bằng một tiêu đề
chỉ định loại quy tắc đó là gì (danh mục hoặc phần mở rộng). Cả hai loại quy tắc đều có thêm hai
các cột có thể được phân cách bằng bất kỳ khoảng trắng nào.
Quy tắc danh mục có tên danh mục ở cột thứ hai và biểu thức chính quy Perl
ở cột thứ ba. Tên danh mục không được có bất kỳ khoảng trắng nào trong đó và chỉ có thể là
chữ và số. Biểu thức chính quy được sử dụng để kiểm tra đầu ra của 'tệp'. Các
biểu thức chính quy sẽ được sử dụng không phân biệt chữ hoa chữ thường. Nhiều quy tắc có thể tồn tại cho một
danh mục, nhưng chỉ có thể tồn tại một danh mục cho một đầu ra tệp nhất định. Ví dụ:
Thao tác này sẽ lưu tất cả đầu ra của tệp có 'dữ liệu hình ảnh' ở bất kỳ đâu trong đó vào danh mục `hình ảnh`:
thể loại hình ảnh dữ liệu hình ảnh
Điều này sẽ lưu tất cả đầu ra tệp có 'ASCII' theo sau là bất cứ thứ gì và sau đó là 'văn bản'.
được lưu vào danh mục 'văn bản':
văn bản danh mục văn bản ASCII(.*?)
Điều này sẽ lưu tất cả đầu ra tệp chỉ là 'dữ liệu' vào danh mục 'dữ liệu' (^ và $ xác định
ranh giới trong Perl). Giá trị 'dữ liệu' phổ biến ở đầu ra của tệp không xác định
Dữ liệu nhị phân.
dữ liệu danh mục ^dữ liệu?
Có một danh mục 'bỏ qua' đặc biệt được sử dụng để bỏ qua các tệp thuộc loại này.
Đây chủ yếu là tiết kiệm thời gian và không gian.
Quy tắc mở rộng tương tự ngoại trừ cột thứ hai có các phần mở rộng giá trị cho
đầu ra tập tin. Nhiều quy tắc có thể tồn tại cho cùng một loại tệp. Việc so sánh sẽ
done không phân biệt chữ hoa chữ thường. Nếu không có phần mở rộng nào hợp lệ cho loại tệp thì không cần quy tắc
được làm. Điều đó đã được giả định rồi.
Ví dụ: ASCII được sử dụng cho một số phần mở rộng tệp nên các quy tắc sau có thể
hiện hữu:
ext txt,log văn bản ASCII(.*?)
ext c,cpp,h,js văn bản ASCII(.*?)
Vui lòng gửi email cho tôi bất kỳ quy tắc nào mà bạn thấy hữu ích cho các cuộc điều tra tiêu chuẩn và tôi sẽ
kết hợp chúng vào các bản phát hành trong tương lai (nhà cung cấp dịch vụ tại sleuthkit dot org).
VÍ DỤ
Để chạy bộ sắp xếp không có cơ sở dữ liệu băm, có thể sử dụng cách sau:
# bộ sắp xếp -f ntfs -d dữ liệu/hình ảnh sắp xếp/hda1.dd
# bộ sắp xếp -d dữ liệu/hình ảnh bộ sắp xếp/hda1.dd
# Sorter -i raw -f ntfs -o 63 -d data/sorter image/hda.dd
Để bao gồm NSRL, loại trừ và cơ sở dữ liệu băm cảnh báo:
# Sorter -f ntfs -d data/sorter -a /usr/hash/rootkit.db -x /usr/hash/win2k.db
-n /usr/hash/nsrl/NSRLFile.txt hình ảnh/hda1.dd
Để chỉ xác định hình ảnh bằng tệp 'images.sort' được cung cấp:
# Sorter -f ntfs -C /usr/local/sleuthkit/share/sort/images.sort -d data/sorter -h
-s hình ảnh/hda1.dd
YÊU CẦU
Thư viện tham khảo phần mềm quốc gia NIST (NSRL) có thể được tìm thấy tại www.nsrl.nist.gov.
Sử dụng bộ sắp xếp trực tuyến bằng dịch vụ onworks.net
