mmi

Метаданные являются индикатором с самой низкой стоимостью, как легко обойти. Тем не менее, с экспоненциальным объемом каталогов и файлов, стандартных при установке операционной системы по умолчанию, поиск вещей, скрытых на виду, стало важным методом анализа.

 MMI - OS Triage for Anyone and Everyone

options:
  -h, --help      show this help message and exit
  -d, --download  Download Bloom Filters
  -s, --skip      Skip File Hashing
  -u, --updated   Bloom Filters Last Updated
  -v, --version   show program's version number and exit

GetBlocks генерирует набор данных, используя формат SHA256 для каталогов, файлов, хэшей и путей.

https://github.com/4n6ir/getblocks

Трубопровод работает каждый час, чтобы определить, выпустил ли AWS какое -либо новое проверенное изображение Amazon Machine (AMI) для артефактов сбора артефактов.

Параметр загрузки в интерфейсе командной строки (CLI) хранит фильтры Bloom в домашнем каталоге пользователя.

 mmi -d

Пожалуйста, используйте эти ссылки для загрузки фильтров Bloom для автономного анализа.

https://dl.4n6ir.com/match-meta-info/gtfo.bloom

https://dl.4n6ir.com/match-meta-info/mmi.bloom

Вы можете проверить целостность фильтров Bloom, используя предоставленные значения хэша SHA256.

https://dl.4n6ir.com/match-meta-info/gtfo.sha256

https://dl.4n6ir.com/match-meta-info/mmi.sha256

Необработанные данные доступны для загрузки, если вы хотите использовать артефакты в другом месте.

https://dl.4n6ir.com/?p=amazon-linux-pipeline/

Проверьте, когда фильтры Bloom были в последний раз обновляться с помощью интерфейса командной строки (CLI).

 mmi -u

Или нажав предоставленный веб -сайт для последней обновленной метки времени.

https://dl.4n6ir.com/match-meta-info/last.updated

https://dl.4n6ir.com/match-meta-info/gtfo.count

https://dl.4n6ir.com/match-meta-info/mmi.count

? Пустой файл (фиолетовый)

Размер нулевого байта определяет пустые файлы или следующее значение хэша для этого обнаружения.

E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

? Известный файл (зеленый)

Значение хэша SHA256 для конкретного содержания файла соответствует одному в операционной системе в наборе данных.

? Известная мета (синий)

Полный путь точно соответствует одному в операционной системе в наборе данных.

? Большой файл (красный)

100 МБ или более отмечается как большой файл для поддержания производительности приложения.

? Недоступен (желтый)

Если что -то пойдет не так во время хэширования содержимого файла, программа позволяет вам узнать, что хэш недоступен.

⬜ Частичная мета (серая)

Если соответствует только каталог или имя файла, это указывает на знакомое имя из набора данных.

⬛ Неизвестно (черный)

Цветовое кодирование по умолчанию без каких -либо обнаружений, доступных из набора данных.

GTFOBINS - это кураторский список двоичных файлов UNIX, который может обойти локальные ограничения безопасности в неправильных системах.

https://gtfobins.github.io

Идентификация файлов, которые обеспечивают возможность жить за пределами земли.

H для известного хэша SHA256? (красный)

P для известного полного пути? (красный)

F для известного имени файла? (красный)

Три звезды *** ? (красный) Укажите, что у вас нет доступа к хэш содержимого конкретного файла.

 pip install matchmeta

 python setup.py install --user