bulk_extractor - Сканирует образ диска на наличие регулярных выражений и другого содержимого.
bulk_extractor -o output_dir [options] [ image | -R dir ]
bulk_extractor сканирует образ диска (или любой другой файл) на наличие большого количества предопределенных регулярных выражений и другого контента. Эти элементы называются функциями. При обнаружении функции bulk_extractor записывает выходные данные в выходной файл. Каждая строка выходного файла содержит смещение в байтах, по которому был найден объект, вкладку и фактический объект. Поэтому функции не могут содержать символ конца строки.
bulk_extractor включает встроенную поддержку файлов EnCase (.E01) и AFFLIB (.aff), если он скомпилирован и связан в системе, содержащей эти библиотеки. Кроме того, параметр -R можно использовать для рекурсивного сканирования и обработки каталога с отдельными файлами (образы дисков в таком каталоге будут рассматриваться как файлы, а не как образы дисков).
bulk_extractor является многопоточным. Указав параметр -j, можно запустить несколько копий программы. Каждый поток записывает свои результаты в свой собственный файл функций. Затем файлы объединяются основным потоком после завершения всех вторичных потоков.
bulk_extractor – это двухэтапная программа. На первом этапе извлекаются признаки. На этапе 2 создается гистограмма соответствующих функций.
bulk_extractor также создаст список слов из всех слов, найденных в образе диска. Это можно использовать как словарь для взлома шифрования.
Варианты следующие:
Указывает выходной каталог, который при необходимости будет создан bulk_extractor. Если выходной каталог содержит данные частичного запуска bulk_extractor, bulk_extractor попытается возобновить работу с того места, где остановился предыдущий запуск.
Прочтите содержимое файла bannerfile.txt и отметьте его в начале каждого выходного файла. Это может быть полезно, если у вас есть какой-то баннер конфиденциальности, который нужно поставить в верхней части всех ваших файлов.
Задает список предупреждений (или красный список), представляющий собой список терминов, которые, если они будут найдены, будут специально помечены в специальном файле предупреждений, который начинается с букв ПРЕДУПРЕЖДЕНИЕ. Список предупреждений может содержать отдельные термины, которые должны быть найдены целиком и с учетом регистра, или подстановочные знаки со стандартным подстановочным знаком Unix (например, *@company.com). Термины с подстановкой не чувствительны к регистру.
Задает стоп-лист (или белый список), представляющий собой список терминов, которые, если они будут найдены, будут помещены в специальный файл stopped (а не в основной файл). Белый список может также содержать термины с подстановкой.
Укажите параметры случайной выборки.
Откройте образ диска и распечатайте информацию, найденную в path. Спецификация format может быть r для необработанного вывода и h для шестнадцатеричного вывода.
Укажите -p - для интерактивного режима.
Укажите -p -http для режима HTTP.
Задает файл регулярных выражений, которые будут использоваться в качестве условий поиска.
Задает регулярное выражение, которое будет использоваться в качестве условия поиска.
Бесшумный режим. Печатает только каждый nn отчет о состоянии.
Укажите -1 для отсутствия статуса.
Сканер scan_wordlist должен извлекать только слова длиной от n1 до n2 символов.
Эти команды полезны для настройки:
Определяет размер контекстного окна.
указывает контекстное окно для рекордера <имя> на NN.
указывает контекстное окно после NN для рекордера <имя>
указывает контекстное окно перед NN для рекордера <имя>
указать размер страницы
Указывает размер поля в байтах.
Используйте n потоков для анализа. Обычно вам не нужно указывать это, так как по умолчанию используется количество процессоров на текущем компьютере.
Пусть bulk_extractor подождет не более NN минут, пока сканеры закончат работу после того, как все данные будут прочитаны.
Следующие команды полезны для отладки:
Распечатать номер версии
Перезапускает программу с того места, где она остановилась для определенного каталога.
Установите дедуплицирующий фильтр Блума на nn бит. Используется сканером scan_wordlist.
Задает максимальную глубину рекурсии nn.
Начать с номера страницы pagenum.
Начинается со смещения ввода o1, может заканчиваться со смещением o2
Включить уровень отладки N.
Наконец, вы можете управлять сканерами с помощью следующих опций:
Указывает каталог, в котором можно найти плагины.
Выключает все сканеры, затем включает сканер сканера.
Включает сканер.
Отключает сканер.
bulk_extractor основан на экстракторе функций и распознавателе именованных сущностей, разработанных для SBook в 1991 году. В 2003 году экстрактор функций был переназначен для образов дисков. Автономная программа bulk_extractor была переписана. в 2005 г. и публично выпущен в 2007 г. Многопоточный bulk_extractor был выпущен в мае 2010 г.
Симсон Гарфинкель simsong@acm.org