mmi

Metadaten sind der am niedrigsten Wert als einfach zu Fußpflegeantrieb. Mit dem exponentiellen Volumen von Verzeichnissen und Dateien Standard für Standard -Betriebssysteminstallationen ist es jedoch zu einer wichtigen Analysetechnik geworden, Dinge zu finden, die sich in Sichtweite verstecken.

 MMI - OS Triage for Anyone and Everyone

options:
  -h, --help      show this help message and exit
  -d, --download  Download Bloom Filters
  -s, --skip      Skip File Hashing
  -u, --updated   Bloom Filters Last Updated
  -v, --version   show program's version number and exit

GetBlocks generiert den Datensatz mit dem SHA256 -Format für Verzeichnisse, Dateien, Hashes und Pfade.

https://github.com/4n6ir/getblocks

Eine Pipeline läuft jede Stunde, um festzustellen, ob AWS ein neues verifiziertes Amazon Machine -Image (AMI) für die Ernte von Artefakten veröffentlicht hat.

Eine Download -Option in der CLI -Befehlszeilenschnittstelle (CLI) speichert die Bloom -Filter im Heimverzeichnis des Benutzers.

 mmi -d

Bitte verwenden Sie diese Links, um die Bloom -Filter für die Offline -Analyse herunterzuladen.

https://dl.4n6ir.com/match-meta-info/gtfo.bloom

https://dl.4n6ir.com/match-meta-info/mmi.bloom

Sie können die Integrität der Bloom -Filter überprüfen, indem Sie die bereitgestellten SHA256 -Hash -Werte verwenden.

https://dl.4n6ir.com/match-meta-info/gtfo.sha256

https://dl.4n6ir.com/match-meta-info/mmi.sha256

Rohdaten können heruntergeladen werden, wenn Sie die Artefakte an anderer Stelle verwenden möchten.

https://dl.4n6ir.com/?p=amazon-linux-pipeline/

Überprüfen Sie, ob die Bloom -Filter zuletzt über die Befehlszeilenschnittstelle (CLI) aktualisiert wurden.

 mmi -u

Oder durch das Erreichen der bereitgestellten Website für den letzten aktualisierten Zeitstempel.

https://dl.4n6ir.com/match-meta-info/last.updated

https://dl.4n6ir.com/match-meta-info/gtfo.count

https://dl.4n6ir.com/match-meta-info/mmi.count

? Leere Datei (lila)

Eine Null -Byte -Größe bestimmt leere Dateien oder den folgenden Hash -Wert für diese Erkennung.

E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

? Bekannte Datei (grün)

Der SHA256 -Hash -Wert für die spezifischen Dateiinhalte entspricht einem in einem Betriebssystem im Datensatz.

? Bekanntes Meta (blau)

Der vollständige Pfad stimmt genau mit einem übereinstimmt, der in einem Betriebssystem im Datensatz gefunden wurde.

? Große Datei (rot)

Ein 100 MB oder mehr wird als große Datei markiert, um die Anwendungsleistung aufrechtzuerhalten.

? Nicht verfügbar (gelb)

Wenn beim Hashing des Dateiinhalts etwas schief geht, können Sie mit dem Programm wissen, dass der Hash nicht verfügbar ist.

⬜ Teilmeta (grau)

Wenn nur das Verzeichnis oder der Dateiname übereinstimmt, zeigt es einen vertrauten Namen aus dem Datensatz an.

⬛ unbekannt (schwarz)

Standard -Farbcodierung ohne Erkennungen, die im Datensatz verfügbar sind.

GTFOBINS ist eine kuratierte Liste von UNIX -Binärdateien, die lokale Sicherheitsbeschränkungen in falsch konfigurierten Systemen umgehen können.

https://gtfobins.github.io

Das Erkennen von Dateien, die die Möglichkeit bieten, vom Land zu leben, ist unerlässlich.

H für bekannte SHA256 Hash? (Rot)

P für den bekannten vollen Pfad? (Rot)

F für den bekannten Dateinamen? (Rot)

Drei Sterne *** ? (Rot) Geben Sie an, dass Sie keinen Zugriff auf den Inhalt einer bestimmten Datei haben.

 pip install matchmeta

 python setup.py install --user