mmi

元數據是最低值的指示器，很容易繞過。儘管如此，隨著默認操作系統安裝的目錄和文件標準的指數量，發現隱藏在純粹的視線中的事物已成為一項重要的分析技術。

 MMI - OS Triage for Anyone and Everyone

options:
  -h, --help      show this help message and exit
  -d, --download  Download Bloom Filters
  -s, --skip      Skip File Hashing
  -u, --updated   Bloom Filters Last Updated
  -v, --version   show program's version number and exit

GetBlocks使用SHA256格式為目錄，文件，哈希和路徑生成數據集。

https://github.com/4n6ir/getBlocks

管道每小時運行，以確定AWS是否發布了任何新的經過驗證的亞馬遜機器圖像（AMI）來收穫工件。

命令行接口（CLI）中的下載選項將BLOOM過濾器存儲在用戶的主目錄中。

 mmi -d

請使用這些鏈接下載Bloom過濾器進行離線分析。

https://dl.4n6ir.com/match-matta-info/gtfo.bloom

https://dl.4n6ir.com/match-matta-info/mmi.bloom

您可以使用提供的SHA256哈希值來驗證Bloom過濾器的完整性。

https://dl.4n6ir.com/match-match-meta-info/gtfo.sha256

https://dl.4n6ir.com/match-matta-info/mmi.sha256

如果您想在其他地方使用工件，則可以下載原始數據。

https://dl.4n6ir.com/?p=amazon-linux-pipeline/

檢查何時使用命令行接口（CLI）最後更新Bloom過濾器。

 mmi -u

或通過在最後更新的時間戳上點擊提供的網站。

https://dl.4n6ir.com/match-matta-info/last.updated

https://dl.4n6ir.com/match-matta-info/gtfo.count

https://dl.4n6ir.com/match-match-meta-info/mmi.count

？空文件（紫色）

零字節大小確定該檢測的空文件或以下哈希值。

E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

？已知文件（綠色）

特定文件內容的SHA256哈希值與數據集中的操作系統上的一個匹配。

？已知的元（藍色）

完整的路徑與數據集中的操作系統上發現的路徑完全匹配。

？大文件（紅色）

100 MB或更高的標記為大型文件，以維持應用程序性能。

？不可用（黃色）

如果在文件內容的哈希期間出現問題，則該程序可以讓您知道哈希不可用。

⬜部分元（灰色）

如果僅目錄或文件名匹配，則指示數據集中的熟悉名稱。

⬛未知（黑色）

默認的顏色編碼沒有數據集可用的任何檢測。

GTFOBINS是一個策劃的Unix二進製文件列表，可以繞過錯誤配置的系統中的本地安全限制。

https://gtfobins.github.io

識別提供在土地上生活能力的文件至關重要。

H用於已知的SHA256哈希？ （紅色的）

P用於已知的完整路徑？ （紅色的）

F用於已知文件名？ （紅色的）

三星*** ？ （紅色）表示您無法訪問特定文件的內容。

 pip install matchmeta

 python setup.py install --user