mmi

Les métadonnées sont l'indicateur de valeur la plus basse comme facile à contourner. Pourtant, avec le volume exponentiel des répertoires et des fichiers standard sur les installations du système d'exploitation par défaut, trouver des choses se cacher à la vue est devenue une technique d'analyse importante.

 MMI - OS Triage for Anyone and Everyone

options:
  -h, --help      show this help message and exit
  -d, --download  Download Bloom Filters
  -s, --skip      Skip File Hashing
  -u, --updated   Bloom Filters Last Updated
  -v, --version   show program's version number and exit

GetBlocks génère l'ensemble de données à l'aide du format SHA256 pour les répertoires, les fichiers, les hachages et les chemins.

https://github.com/4n6ir/getblocks

Un pipeline fonctionne toutes les heures pour déterminer si AWS a publié une nouvelle image de machine Amazon vérifiée (AMI) pour récolter des artefacts.

Une option de téléchargement dans l'interface de ligne de commande (CLI) stocke les filtres Bloom dans le répertoire personnel de l'utilisateur.

 mmi -d

Veuillez utiliser ces liens pour télécharger les filtres Bloom pour une analyse hors ligne.

https://dl.4n6ir.com/match-meta-info/gtfo.bloom

https://dl.4n6ir.com/match-meta-info/mmi.bloom

Vous pouvez vérifier l'intégrité des filtres Bloom en utilisant les valeurs de hachage SHA256 fournies.

https://dl.4n6ir.com/match-meta-info/gtfo.sha256

https://dl.4n6ir.com/match-meta-info/mmi.sha256

Des données brutes sont disponibles en téléchargement si vous souhaitez utiliser les artefacts ailleurs.

https://dl.4n6ir.com/?p=amazon-inux-pipeline/

Vérifiez quand les filtres Bloom ont été mis à jour pour la dernière fois à l'aide de l'interface de ligne de commande (CLI).

 mmi -u

Ou en frappant le site Web fourni pour le dernier horodatage mis à jour.

https://dl.4n6ir.com/match-meta-info/last.updated

https://dl.4n6ir.com/match-meta-info/gtfo.count

https://dl.4n6ir.com/match-meta-info/mmi.count

? Fichier vide (violet)

Une taille d'octet nulle détermine les fichiers vides ou la valeur de hachage suivante pour cette détection.

E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

? Fichier connu (vert)

La valeur de hachage SHA256 pour le contenu de fichiers spécifique correspond à celui trouvé sur un système d'exploitation dans l'ensemble de données.

? Meta connu (bleu)

Le chemin complet correspond précisément à celui trouvé sur un système d'exploitation dans l'ensemble de données.

? Grand fichier (rouge)

Un 100 Mo ou plus est marqué comme un grand fichier pour maintenir les performances de l'application.

? Non disponible (jaune)

Si quelque chose ne va pas pendant le hachage du contenu du fichier, le programme vous permet de savoir que le hachage n'est pas disponible.

⬜ Meta partielle (gris)

Si seulement le répertoire ou le nom de fichier correspond, il indique un nom familier de l'ensemble de données.

⬛ inconnu (noir)

Codage couleur par défaut sans aucune détection disponible à partir de l'ensemble de données.

GTFOBINS est une liste organisée de binaires Unix qui peuvent contourner les restrictions de sécurité locales dans les systèmes erronés.

https://gtfobins.github.io

Il est essentiel d'identifier les fichiers qui offrent la possibilité de vivre du terrain.

H pour le hachage SHA256 connu? (rouge)

P pour le chemin complet connu? (rouge)

F pour le nom de fichier connu? (rouge)

Trois étoiles *** ? (rouge) Indiquez que vous n'avez pas accès au hachage le contenu d'un fichier spécifique.

 pip install matchmeta

 python setup.py install --user