描述:
扫描磁盘映像中的正则表达式和其他内容
bulk_extractor扫描磁盘映像(或任何其他文件),查找大量预定义的正则表达式和其他类型的内容。这些项称为特性。当它找到一个特性时,bulk_extractor将输出写到输出文件中。输出文件的每一行都包含发现特性所在的字节偏移量、制表符和实际特性。因此,功能部件不能包含行尾字符。
bulk_extractor包括对EnCase(.E01)和AFFLIB(.aff)文件的本机支持,如果它在包含这些库的系统上进行编译和链接的话。另外,-R选项可用于递归扫描和处理单个文件的目录(此类目录中的磁盘映像将被视为文件,而不是磁盘映像)。
bulk_extractor是多线程的。通过指定-j选项,可以运行程序的多个副本。每个线程都将结果写入到自己的特性文件中。当所有的辅助线程完成时,主线程将这些文件合并起来。
bulk_extractor是一个两阶段的程序。在第一阶段,特征被提取。在第二阶段,创建相关特征的直方图。
bulk_extractor还将创建一个包含在磁盘映像中找到的所有单词的单词列表。这可以用作破解加密的字典。
选项:
-o outdir
指定输出目录,必要时bulk_extractor将创建该目录。如果输出目录包含来自部分bulk_extractor运行的数据,bulk_extractor将尝试从上次停止运行的位置继续。
-bbannerfile.txt
读取bannerfile.txt的内容,并在每个输出文件的开头标记它。如果您有某种需要在所有文件顶部盖章的隐私标语,这可能会很有用。
-ralert_list.txt
指定一个警告列表(或红色列表),这是一个术语列表,如果找到这些术语,将在以字母alert开头的特殊警告文件中进行特别标记。警告列表可能包含单个术语,这些术语必须在它们的实体中找到,并且区分大小写,或者使用标准Unix通配符(例如*@company.com)。Globbed术语是不区分大小写的。
-wstop_list.txt
指定停止列表(或白列表),这是一个术语列表,如果找到,将放在一个特殊的停止文件中(而不是主文件中)。白名单也可能包含全局术语。
-sfrac[:passes]
指定随机采样参数。
-ppath/format
打开磁盘映像并打印在path找到的信息。格式规范对于原始输出可能是r,对于十六进制输出可能是h。
指定-p-用于交互模式。
将-p -http指定为HTTP模式。
-F<rfile>
指定要用作搜索项的正则表达式文件。
-f<regex>
指定用作搜索项的正则表达式。
-q nn
静音模式。仅打印每nn个状态报告。
指定-1为无状态。
-Wn1:n2
scan_wordlist扫描程序应该只提取长度在n1到n2字符之间的单词。
调试:
这些命令对于调优操作很有用:
-C NN
指定上下文窗口的大小。
-Sfr:<name>:window=NN
为记录器<name>到NN指定上下文窗口。
-Sfr:<name>:window_before=NN
为记录器<name>指定上下文窗口后给NN
-Sfr:<name>:window_after=NN
为记录器<name>在NN之前指定上下文窗口
-G NN
指定页面大小
-g NN
以字节为单位指定边距的大小。
-j NN
使用n个线程进行分析。通常不需要指定此值,因为默认值是当前计算机上的处理器数量。
-m NN
在读取所有数据后,让bulk_extractor最多等待NN分钟,以便扫描完成。
调试排除故障:
下面的命令对调试很有用:
-V
打印版本号
-R outdir
从停在特定目录的位置重新启动程序。
-B nn
将dedup Bloom过滤器设置为nn位。由scan_wordlist扫描程序使用。
-M nn
指定最大递归深度为nn。
-z pagenum
从页码开始
-Y<o1>[-<o2>]
从输入偏移量o1开始,可选地从偏移量o2结束
-dN
启用调试级别N。
扫描仪控制:
最后,您可以使用以下选项控制扫描程序:
-P<dir>
指定要在其中查找插件的目录。
-E scanner
关闭所有扫描程序,然后启用扫描程序。
-e scanner
启用扫描程序。
-x scanner
关闭扫描程序
网友评论