mmi
matchmeta
メタデータは、回避しやすい最低値の指標です。それでも、デフォルトのオペレーティングシステムのインストールのディレクトリとファイルの指数ボリュームとファイルの標準により、視覚的に隠れているものを見つけることが重要な分析手法になりました。
MMI - OS Triage for Anyone and Everyone
options:
-h, --help show this help message and exit
-d, --download Download Bloom Filters
-s, --skip Skip File Hashing
-u, --updated Bloom Filters Last Updated
-v, --version show program's version number and exit
GetBlocksは、ディレクトリ、ファイル、ハッシュ、パスのSHA256形式を使用してデータセットを生成します。
https://github.com/4n6ir/getblocks
パイプラインは1時間ごとに実行され、AWSがアーティファクトを収穫するために新しい検証済みのAmazonマシンイメージ(AMI)をリリースしたかどうかを判断します。
コマンドラインインターフェイス(CLI)のダウンロードオプションは、ユーザーのホームディレクトリにブルームフィルターを保存します。
mmi -d
これらのリンクを使用して、オフライン分析のためにブルームフィルターをダウンロードしてください。
https://dl.4n6ir.com/match-meta-info/gtfo.bloom
https://dl.4n6ir.com/match-meta-info/mmi.bloom
提供されたSHA256ハッシュ値を使用して、ブルームフィルターの整合性を確認できます。
https://dl.4n6ir.com/match-meta-info/gtfo.sha256
https://dl.4n6ir.com/match-meta-info/mmi.sha256
RAWデータは、他の場所でアーティファクトを使用する場合はダウンロードできます。
https://dl.4n6ir.com/?p=amazon-linux-pipeline/
コマンドラインインターフェイス(CLI)を使用して、ブルームフィルターが最後に更新されたときに確認してください。
mmi -u
または、最終更新されたタイムスタンプのために提供されたWebサイトにヒットします。
https://dl.4n6ir.com/match-meta-info/last.updated
https://dl.4n6ir.com/match-meta-info/gtfo.count
https://dl.4n6ir.com/match-meta-info/mmi.count
?空のファイル(紫)
ゼロバイトサイズは、この検出のために空のファイルまたは次のハッシュ値を決定します。
E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
?既知のファイル(緑)
特定のファイルコンテンツのSHA256ハッシュ値は、データセットのオペレーティングシステムにあるものと一致します。
?既知のメタ(青)
フルパスは、データセット内のオペレーティングシステムで見つかったものと正確に一致します。
?大きなファイル(赤)
100 MB以上は、アプリケーションのパフォーマンスを維持するための大きなファイルとしてマークされます。
?利用できない(黄色)
ファイルコンテンツのハッシュ中に何か問題が発生した場合、プログラムはハッシュが利用できないことを知ることができます。
⬜部分メタ(灰色)
ディレクトリまたはファイル名のみが一致する場合、データセットの馴染みのある名前を示します。
⬛未知(黒)
データセットから利用可能な検出なしのデフォルトのカラーコーディング。
GTFOBINSは、誤ったシステムで現地のセキュリティ制限をバイパスできるUNIXバイナリのキュレーションリストです。
https://gtfobins.github.io
土地から住む能力を提供するファイルを特定することが不可欠です。
Hの既知のsha256ハッシュの場合? (赤)
既知のフルパスのP ? (赤)
F既知のファイル名は? (赤)
3つ星*** ? (赤)特定のファイルの内容をハッシュすることができないことを示します。
pip install matchmeta
python setup.py install --user
