mmi

元数据是最低值的指示器，很容易绕过。尽管如此，随着默认操作系统安装的目录和文件标准的指数量，发现隐藏在纯粹的视线中的事物已成为一项重要的分析技术。

 MMI - OS Triage for Anyone and Everyone

options:
  -h, --help      show this help message and exit
  -d, --download  Download Bloom Filters
  -s, --skip      Skip File Hashing
  -u, --updated   Bloom Filters Last Updated
  -v, --version   show program's version number and exit

GetBlocks使用SHA256格式为目录，文件，哈希和路径生成数据集。

https://github.com/4n6ir/getBlocks

管道每小时运行，以确定AWS是否发布了任何新的经过验证的亚马逊机器图像（AMI）来收获工件。

命令行接口（CLI）中的下载选项将BLOOM过滤器存储在用户的主目录中。

 mmi -d

请使用这些链接下载Bloom过滤器进行离线分析。

https://dl.4n6ir.com/match-matta-info/gtfo.bloom

https://dl.4n6ir.com/match-matta-info/mmi.bloom

您可以使用提供的SHA256哈希值来验证Bloom过滤器的完整性。

https://dl.4n6ir.com/match-match-meta-info/gtfo.sha256

https://dl.4n6ir.com/match-matta-info/mmi.sha256

如果您想在其他地方使用工件，则可以下载原始数据。

https://dl.4n6ir.com/?p=amazon-linux-pipeline/

检查何时使用命令行接口（CLI）最后更新Bloom过滤器。

 mmi -u

或通过在最后更新的时间戳上点击提供的网站。

https://dl.4n6ir.com/match-matta-info/last.updated

https://dl.4n6ir.com/match-matta-info/gtfo.count

https://dl.4n6ir.com/match-match-meta-info/mmi.count

？空文件（紫色）

零字节大小确定该检测的空文件或以下哈希值。

E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

？已知文件（绿色）

特定文件内容的SHA256哈希值与数据集中的操作系统上的一个匹配。

？已知的元（蓝色）

完整的路径与数据集中的操作系统上发现的路径完全匹配。

？大文件（红色）

100 MB或更高的标记为大型文件，以维持应用程序性能。

？不可用（黄色）

如果在文件内容的哈希期间出现问题，则该程序可以让您知道哈希不可用。

⬜部分元（灰色）

如果仅目录或文件名匹配，则指示数据集中的熟悉名称。

⬛未知（黑色）

默认的颜色编码没有数据集可用的任何检测。

GTFOBINS是一个策划的Unix二进制文件列表，可以绕过错误配置的系统中的本地安全限制。

https://gtfobins.github.io

识别提供在土地上生活能力的文件至关重要。

H用于已知的SHA256哈希？ （红色的）

P用于已知的完整路径？ （红色的）

F用于已知文件名？ （红色的）

三星*** ？ （红色）表示您无法访问特定文件的内容。

 pip install matchmeta

 python setup.py install --user