这是可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行的命令分类器,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
sorter - 根据文件类型将图像中的文件分类
概要
[-b 尺寸 ] [-e] [-E] [-H] [-l] [-md5] [-s] [-sha1] [-U] [-v] [-V] [-一种 哈希警报 ] [-C
配置 ] [-C 配置 ] [-d DIR ] [-M. MNT ] [-n nsrl_db ] [-X 哈希排除 ] [-一世 图像类型]
[-要么 图像偏移] [-F 文件类型] 图片 [图片] [元地址]
商品描述
分选机 是一个 Perl 脚本,它分析文件系统以组织分配的和
按文件类型未分配的文件。 它对每个文件运行“文件”命令并组织
配置文件中的规则。 扩展不匹配也完成
识别“隐藏”文件。 还可以为已知文件提供哈希数据库
良好且可以忽略的文件以及已知不良且应发出警报的文件。
默认情况下,程序使用 The Sleuth Kit 所在目录中的配置文件
已安装。 这些可以被运行时选项否决。 有一个标准
所有文件系统类型的配置文件,然后是给定操作的特定文件
系统。
争论
所需的参数如下。 这将分析一个或多个图像,并且
将结果保存在“-d”目录中或将结果列出到 STDOUT(如果给出了“-l”)。
-d dir 指定所有文件的写入位置。 这包括索引
如果给出了“-s”标志,则为文件和子目录。 这必须给出,除非
给出'-l'列表标志。
-l 列出信息到标准输出(没有文件被写入)。 这对
事件响应,使用“netcat”。 如果使用“-d”,则不能使用此选项。
图像 [图像]
要读取的磁盘或分区映像,其格式由“-i”指定。 多种的
如果图像被分割成多个段,则可以给出图像文件名。 如果
只给出一个图像文件,它的名字是序列中的第一个(例如,作为
以'.001'结尾表示),将包括后续的图像片段
自动。
选项如下:
-f文件类型
指定图像的文件系统类型。 这是同一类型的
Sleuth Kit 使用。
-i 图像类型
指定文件系统所在的映像类型。 这是同一类型
Sleuth Kit 使用的。
-o 图像偏移
指定从图像开头到文件开头的扇区偏移量
系统。
-b 大小
指定要处理的文件的最小大小。 所有小于此大小的文件都将
忽略了。
-c 配置
指定附加配置文件的位置。 这个文件将被加载
除了安装目录中的标准之外。 这些设置将
优先于标准文件。
-C 配置
指定 ONLY 配置文件的位置。 标准配置文件
如果给出此选项,则不会加载。 例如,在“共享/排序”中
目录中有一个名为“images.sort”的文件。 此文件仅包含规则
关于图形图像。 如果用 -C 指定,则只保存图像
关于图像。
-m mnt 指定正在分析的映像的安装点。 这仅用于化妆品
原因。 当输出文件中的条目被写入时,文件将有一个
完整路径,而不仅仅是相对路径。 如果这是给定的,那么只有一个
可以给出图像。
-a 哈希警报
指定具有已知“坏”文件条目的哈希数据库的位置。 如果有的话
在此数据库中找到具有 MD5 哈希值的文件,它将被放置在一个
特殊警报文件。 此数据库必须已使用 'hfind' 为 MD5 编制索引
分拣机使用之前的 Sleuth Kit。
-n nsrl_db
指定 NIST 国家软件参考库 (NSRL) 的位置
数据库(www.nsrl.nist.org)。 在 NSRL 中找到的任何文件都将被忽略,而不是
归入一个类别。 必须使用 'hfind' 为 MD5 索引数据库
Sleuth Kit 在被分拣机使用之前。 数据库文件当前调用
'NSRLFile.txt'。
-x 哈希_排除
指定具有已知“好”文件条目的哈希数据库的位置。 如果有的话
在此数据库中找到具有 MD5 哈希值的文件,它将被忽略而不是
处理或保存到类别文件。 该数据库必须已被索引
MD5 在被分拣机使用之前在 The Sleuth Kit 中使用“hfind”。
-e 执行扩展不匹配检查(不生成类别索引文件)
-U 不保存有关未知文件类型的数据。 默认情况下,会创建一个“未知”文件
对于“文件”输出未知的文件。 这允许人们改进他们的
配置。 如果不需要,请使用此标志。
-h 在 HTML 中创建类别文件
-md5 计算每个文件的MD5值并保存在分类文件中。 这会
当给出任何数据库时自动完成。
-sha1 计算每个文件的 SHA-1 值并将其保存在类别文件中。
-s 将实际文件内容保存到'-d'指定目录中的子目录中。
例如,所有 JPG 和 GIF 文件实际上都会保存在“图像”中
目录。 如果还给出了“-h”,则还会创建图形图像的缩略图。
-v 显示详细信息
-V 显示版本。
[元地址]
要开始的目录的元数据地址。 默认情况下,根
目录使用。 如果给出了这个,那么只能给出一个图像。
高水平 产品详情 OF 疗程开始前
分选机 是一个与其他 The Sleuth Kit 工具交互的 Perl 脚本。 它开始于
从安装目录读取配置文件。 有一个将军
配置文件和每个操作系统的特定文件。 具体的一个是
由“-f”标志确定。 每个配置文件包含处理规则
“文件”命令的输出。 一种类型的线标识哪个类别(即“图像”)
给定的“文件”输出属于(即“图像数据”)(使用正则表达式)。
另一个规则显示属于“文件”输出(即
ASCII(.*?) 文本)。 请参阅下面的规则部分。
然后程序运行 The Sleuth Kit 中的“fls”工具来识别文件中的文件
系统映像。 使用“icat”工具查看每个识别的文件。 如果一个哈希数据库
给定后,计算并查找文件的哈希值。 如果在“警报”中找到
数据库,然后将其添加到特殊的“alert.txt”文件中。 如果在 NSRL 或
'exclude' 数据库,则它作为已知良好文件被忽略。 记录排除的文件
在“排除”文件中以供将来参考,但它不会保存在类别文件中。
然后运行“文件”命令以识别文件类型(基于标题信息)。
配置文件规则用于标识它属于哪个类别。 一个条目
添加到相应的类别文件(在'-d dir'目录中)。 如果'-s'标志
给出,然后将文件的副本保存在与该文件同名的子目录中
类别。 如果使用 HTML 格式,那么超链接将允许人们轻松查看
保存的文件并查看每个类别中的内容。
没有类别的文件记录在“未知”类别和“数据”
类别。 'data' 用于具有 'file' 不知道和 'unknown' 结构的文件
对于具有“文件”知道的结构的文件。 这些被保存以备将来参考,
但是可以使用“-U”标志忽略未知类别。
可以使用“-s”标志保存文件的副本。 如果是,则保存文件
在以类别名称命名的子目录中。 每个文件都使用文件命名
系统映像名称后跟元数据地址和原始文件扩展名。 这
类别索引文件可用于将实际名称转换为保存的名称。 HTML
格式使查看更容易,因为类别索引文件中有指向每个文件的链接。
该程序还将查阅有关文件扩展名的规则。 如果文件有
在它的末尾扩展('.' 之后的任何内容),它将与规则进行比较。 如果
在规则中找不到该扩展名作为文件类型的有效扩展名,它将是
添加到“不匹配”的文件中。 如果文件没有扩展名,则不会
即使文件类型具有有效的扩展名也输入。 即使文件
在已知的良好哈希数据库之一中找到。 如果在其中之一中找到它,它将
添加到特殊文件中。 默认情况下,“数据”类型的文件不进行扩展名检查
(因为它们的结构未知)。
该程序也使用“ils”命令的输出重复上述过程。
这允许“排序器”检查仍然有指针的未分配文件的内容
到数据单元(并非所有文件系统都会从这一步生成数据)。
配置 FILES
配置文件用于定义哪些文件类型属于哪些类别以及哪些
扩展名属于什么文件类型。 配置文件随
“sorter”工具,位于“share/sorter”的安装目录中
目录。
'default.sort' 文件被任何文件系统类型使用。 它包含常见的条目
文件类型。 还存在一个特定的操作系统文件,这对扩展很有用
特定于给定操作系统。 默认情况下,默认文件和操作系统特定的
将会被使用。 使用“-c”标志,可以使用附加文件。 如果“-C”标志是
使用,则仅使用提供的配置文件。
配置文件中有两种规则类型。 每个规则都以一个标题开头
指定它是哪种规则类型(类别或分机)。 两种规则类型都有两个额外的
可以由任何空格分隔的列。
类别规则将类别名称作为第二列和一个 Perl 正则表达式
在第三列。 类别名称中不能有空格,只能是
字母和数字。 正则表达式用于检查“文件”的输出。 这
正则表达式将不区分大小写。 一个规则可以存在多个
类别,但对于给定的文件输出只能存在一个类别。 例如:
这会将所有带有“图像数据”的文件输出保存到“图像”类别中:
类别图像图像数据
这将保存所有具有“ASCII”后跟任何内容然后是“文本”的文件输出
保存到“文本”类别:
类别文本 ASCII(.*?)text
这会将所有仅是“数据”的文件输出保存到“数据”类别(^ 和 $ 定义
Perl 中的边界)。 “数据”值在未知文件的输出中很常见
二进制数据。
类别数据^数据?
有一种特殊的“忽略”类别用于跳过这种类型的文件。
这主要是节省时间和空间。
扩展规则类似,只是第二列具有以下值扩展
文件输出。 同一文件类型可以存在多个规则。 比较将是
done 不区分大小写。 如果没有对文件类型有效的扩展名,则规则不需要
被制造。 这已经是假设了。
例如,ASCII 用于多个文件扩展名,因此以下规则可以
存在:
ext txt,记录 ASCII(.*?) 文本
ext c,cpp,h,js ASCII(.*?)文本
请将您认为对标准调查有用的任何规则通过电子邮件发送给我,我会
将它们合并到未来的版本中(sleuthkit dot org 的载体)。
示例
要在没有哈希数据库的情况下运行排序器,可以使用以下命令:
# 排序器 -f ntfs -d 数据/排序器图像/hda1.dd
# 排序器 -d 数据/排序器图像/hda1.dd
# 排序器-i raw -f ntfs -o 63 -d 数据/排序器图像/hda.dd
要包括 NSRL、排除和警报哈希数据库:
# 排序器 -f ntfs -d 数据/排序器 -a /usr/hash/rootkit.db -x /usr/hash/win2k.db
-n /usr/hash/nsrl/NSRLFile.txt 图像/hda1.dd
仅使用提供的“images.sort”文件识别图像:
# 排序器-f ntfs -C /usr/local/sleuthkit/share/sort/images.sort -d 数据/排序器-h
-s 图像/hda1.dd
参赛要件
NIST 国家软件参考库 (NSRL) 可在 www.nsrl.nist.gov 上找到。
使用 onworks.net 服务在线使用分拣机
