mmi

Os metadados são o indicador de menor valor tão fácil de contornar. Ainda assim, com o volume exponencial de diretórios e arquivos padrão nas instalações padrão do sistema operacional, encontrar coisas escondidas à vista se tornou uma importante técnica de análise.

 MMI - OS Triage for Anyone and Everyone

options:
  -h, --help      show this help message and exit
  -d, --download  Download Bloom Filters
  -s, --skip      Skip File Hashing
  -u, --updated   Bloom Filters Last Updated
  -v, --version   show program's version number and exit

GetBlocks gera o conjunto de dados usando o formato SHA256 para diretórios, arquivos, hashes e caminhos.

https://github.com/4n6ir/getBlocks

Um pipeline funciona a cada hora para determinar se a AWS lançou alguma nova imagem verificada da Amazon Machine (AMI) para colher artefatos.

Uma opção de download na interface da linha de comando (CLI) armazena os filtros Bloom no diretório inicial do usuário.

 mmi -d

Use esses links para baixar os filtros Bloom para análise offline.

https://dl.4n6ir.com/match-seta-info/gtfo.bloom

https://dl.4n6ir.com/match-seta-info/mmi.bloom

Você pode verificar a integridade dos filtros Bloom usando os valores de hash SHA256 fornecidos.

https://dl.4n6ir.com/match-seta-info/gtfo.sha256

https://dl.4n6ir.com/match-seta-info/mmi.sha256

Os dados brutos estão disponíveis para download se você quiser usar os artefatos em outros lugares.

https://dl.4n6ir.com/?p=amazon-linux-pipeline/

Verifique quando os filtros Bloom foram atualizados pela última vez usando a interface da linha de comando (CLI).

 mmi -u

Ou atingindo o site fornecido para o último timestamp atualizado.

https://dl.4n6ir.com/match-seta-info/last.updated

https://dl.4n6ir.com/match-seta-info/gtfo.count

https://dl.4n6ir.com/match-seta-info/mmi.count

? Arquivo vazio (roxo)

Um tamanho de byte zero determina arquivos vazios ou o seguinte valor de hash para esta detecção.

E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

? Arquivo conhecido (verde)

O valor do hash sha256 para o conteúdo específico do arquivo corresponde um encontrado em um sistema operacional no conjunto de dados.

? Meta conhecida (azul)

O caminho completo corresponde precisamente a um encontrado em um sistema operacional no conjunto de dados.

? Arquivo grande (vermelho)

Um 100 MB ou mais é marcado como um arquivo grande para manter o desempenho do aplicativo.

? Não disponível (amarelo)

Se algo der errado durante o hash do conteúdo do arquivo, o programa informa que o hash não está disponível.

⬜ Meta parcial (cinza)

Se apenas o diretório ou o nome do arquivo corresponder, ele indica um nome familiar do conjunto de dados.

⬛ Desconhecido (preto)

Codificação de cores padrão sem detecções disponíveis no conjunto de dados.

O GTFOBINS é uma lista com curadoria de binários do UNIX que podem ignorar as restrições de segurança local em sistemas incorretos.

https://gtfobins.github.io

Identificar arquivos que fornecem a capacidade de viver da terra é essencial.

H para o hash sha256 conhecido? (vermelho)

P para um caminho completo conhecido? (vermelho)

F para o nome de arquivo conhecido? (vermelho)

Três estrelas *** ? (vermelho) Indique que você não tem acesso ao hash o conteúdo de um arquivo específico.

 pip install matchmeta

 python setup.py install --user