mmi

Los metadatos son el indicador de menor valor como fácil de sortear. Aún así, con el volumen exponencial de directorios y archivos estándar en las instalaciones predeterminadas del sistema operativo, encontrar cosas que se esconden a la vista se han convertido en una importante técnica de análisis.

 MMI - OS Triage for Anyone and Everyone

options:
  -h, --help      show this help message and exit
  -d, --download  Download Bloom Filters
  -s, --skip      Skip File Hashing
  -u, --updated   Bloom Filters Last Updated
  -v, --version   show program's version number and exit

GetBlocks genera el conjunto de datos utilizando el formato SHA256 para directorios, archivos, hashes y rutas.

https://github.com/4n6ir/getblocks

Una tubería se ejecuta cada hora para determinar si AWS ha lanzado alguna nueva imagen verificada de Amazon Machine (AMI) para cosechar artefactos.

Una opción de descarga en la interfaz de línea de comandos (CLI) almacena los filtros Bloom en el directorio de inicio del usuario.

 mmi -d

Utilice estos enlaces para descargar los filtros Bloom para el análisis fuera de línea.

https://dl.4n6ir.com/match-meta-info/gtfo.bloom

https://dl.4n6ir.com/match-meta-info/mmi.bloom

Puede verificar la integridad de los filtros Bloom utilizando los valores hash SHA256 proporcionados.

https://dl.4n6ir.com/match-meta-info/gtfo.sha256

https://dl.4n6ir.com/match-meta-info/mmi.sha256

Los datos sin procesar están disponibles para descargar si desea usar los artefactos en otro lugar.

https://dl.4n6ir.com/?p=amazon-linux-pipeline/

Verifique cuándo se actualizaron los filtros Bloom por última vez utilizando la interfaz de línea de comandos (CLI).

 mmi -u

O presionando el sitio web proporcionado para la última marca de tiempo actualizada.

https://dl.4n6ir.com/match-meta-info/last.updated

https://dl.4n6ir.com/match-meta-info/gtfo.count

https://dl.4n6ir.com/match-meta-info/mmi.count

? Archivo vacío (púrpura)

Un tamaño de byte cero determina archivos vacíos o el siguiente valor hash para esta detección.

E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

? Archivo conocido (verde)

El valor hash SHA256 para el contenido específico del archivo coincide con uno que se encuentra en un sistema operativo en el conjunto de datos.

? Meta conocido (azul)

La ruta completa coincide precisamente con uno que se encuentra en un sistema operativo en el conjunto de datos.

? Archivo grande (rojo)

Un 100 MB o más se marca como un archivo grande para mantener el rendimiento de la aplicación.

? No disponible (amarillo)

Si algo sale mal durante el hash del contenido del archivo, el programa le permite saber que el hash no está disponible.

⬜ Meta parcial (gris)

Si solo coincide el directorio o el nombre de archivo, indica un nombre familiar del conjunto de datos.

⬛ Desconocido (negro)

Codificación de color predeterminada sin ninguna detección disponible desde el conjunto de datos.

GTFobins es una lista curada de binarios UNIX que pueden evitar las restricciones de seguridad locales en sistemas mal configurados.

https://gtfobins.github.io

Identificar archivos que proporcionan la capacidad de vivir de la tierra es esencial.

H por el hash conocido SHA256? (rojo)

P para el camino completo conocido? (rojo)

F para el nombre del archivo conocido? (rojo)

Tres estrellas *** ? (rojo) Indique que no tiene acceso a hash el contenido de un archivo específico.

 pip install matchmeta

 python setup.py install --user