الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

bulk_extractor هي أداة عالية الأداء لاستغلال الأدلة الجنائية الرقمية. إنه زر "الحصول على الدليل" الذي يقوم بمسح أي نوع من المدخلات بسرعة (صور القرص والملفات وأدلة الملفات وما إلى ذلك) ويستخرج المعلومات المنظمة مثل عناوين البريد الإلكتروني وأرقام بطاقات الائتمان وملفات JPEG ومقتطفات JSON دون تحليل نظام الملفات أو هياكل نظام الملفات. يتم تخزين النتائج في ملفات نصية يسهل فحصها أو البحث فيها أو استخدامها كمدخلات لمعالجة الطب الشرعي الأخرى. ينشئbulk_extractor أيضًا رسومًا بيانية لأنواع معينة من الميزات التي يعثر عليها، مثل مصطلحات بحث Google وعناوين البريد الإلكتروني، حيث أظهرت الأبحاث السابقة أن مثل هذه الرسوم البيانية مفيدة بشكل خاص في تطبيقات التحقيق وتطبيق القانون.

على عكس أدوات الطب الشرعي الرقمية الأخرى، يقوم bulk_extractor باستكشاف كل بايت من البيانات لمعرفة ما إذا كانت بداية تسلسل يمكن فك ضغطه أو فك تشفيره بطريقة أخرى. إذا كان الأمر كذلك، فسيتم إعادة فحص البيانات التي تم فك تشفيرها بشكل متكرر. ونتيجة لذلك، يمكن bulk_extractor العثور على أشياء مثل ملفات JPEG المشفرة بـ BASE64 وكائنات JSON المضغوطة التي تفتقدها أدوات النحت التقليدية.

هذا هو فرع تطوير bulk_extractor 2.1! إنه موثوق، ولكن إذا كنت ترغب في الحصول على إصدار بجودة إنتاج تم اختباره جيدًا، فقم بتنزيل إصدار من https://github.com/simsong/bulk_extractor/releases.

بناء bulk_extractor

نوصي بالبناء من المصادر. نحن نقدم عددًا من البرامج النصية bash في الدليل etc/ الذي سيقوم بتكوين جهاز افتراضي نظيف: 

 git clone --recurse-submodules https://github.com/simsong/bulk_extractor.git
./bootstrap.sh
./configure
make
make install

للحصول على إرشادات مفصلة حول تثبيت الحزم وإنشاء أداة استخراج مجمعة، اقرأ صفحة الويكي هنا: https://github.com/simsong/bulk_extractor/wiki/Installing-bulk_extractor

لمزيد من المعلومات حول Bulk_extractor، قم بزيارة: https://forensics.wiki/bulk_extractor

التكوينات التي تم اختبارها

يتطلب هذا الإصدار من Bulk_extractor الإصدار C++ 17 وقد تم اختبار تجميعه على الأنظمة الأساسية التالية:

  • أمازون لينكس اعتبارًا من 25-05-2023
  • فيدورا 36 (الأحدث)
  • أوبونتو 20.04LTS
  • ماك 13.2.1

يجب عليك دائمًا البدء باستخدام جهاز افتراضي جديد وإعداد النظام باستخدام البرنامج النصي الإعدادي المناسب في الدليل etc/ .

التكوينات التي تم اختبارها والتي لا يعمل فيها مستخرج السائبة

  • Debian 10 (غير مدعوم للإصدارات الأصلية))

الاقتباس الموصى به

إذا كنت تكتب بحثًا علميًا وتستخدم مستخرجًا بالجملة، فيرجى الاستشهاد به مع:

جارفينكل، سيمسون، فرز الوسائط الرقمية مع تحليل البيانات المجمعة وأداة استخراج البيانات المجمعة. أجهزة الكمبيوتر والأمن 32: 56-72 (2013)

  • العلوم المباشرة
  • القياسات الببليومترية
  • موقع المؤلف 
 @article{10.5555/2748150.2748581,
author = {Garfinkel, Simson L.},
title = {Digital Media Triage with Bulk Data Analysis and Bulk_extractor},
year = {2013},
issue_date = {February 2013},
publisher = {Elsevier Advanced Technology Publications},
address = {GBR},
volume = {32},
number = {C},
issn = {0167-4048},
journal = {Comput. Secur.},
month = feb,
pages = {56–72},
numpages = {17},
keywords = {Digital forensics, Bulk data analysis, bulk_extractor, Stream-based forensics, Windows hibernation files, Parallelized forensic analysis, Optimistic decompression, Forensic path, Margin, EnCase}
}

متغيرات البيئة

يمكن ضبط متغيرات البيئة التالية لتغيير عملية bulk_extractor :

عامل سلوك
DEBUG_BENCHMARK_CPU قم بتضمين معلومات قياس أداء وحدة المعالجة المركزية في ملف report.xml
DEBUG_NO_SCANNER_BYPASS تعطيل منطق تجاوز الماسح الضوئي الذي يتجاوز بعض الماسحات الضوئية إذا كان sbuf يحتوي على ngrams أو لا يحتوي على عدد أحرف مميز مرتفع.
DEBUG_HISTOGRAMS طباعة معلومات التصحيح على الرسوم البيانية المستندة إلى الملف.
DEBUG_HISTOGRAMS_NO_INCREMENTAL لا تستخدم الرسوم البيانية التزايدية المستندة إلى الذاكرة.
DEBUG_PRINT_STEPS تتم الطباعة إلى stdout عند استدعاء كل ماسح ضوئي لكل sbuf
DEBUG_DUMP_DATA تفريغ سداسي عشري لكل sbuf المراد فحصه.
DEBUG_SCANNERS_IGNORE قائمة مفصولة بفواصل من الماسحات الضوئية التي يجب تجاهلها (عدم تحميلها). مفيدة لاختبارات وحدة التصحيح.

تلميحات أخرى لتصحيح الأخطاء:

  • قم بتشغيل -xall للتشغيل بدون أي ماسحات ضوئية.
  • قم بالتشغيل باستخدام عينة عشوائية تبلغ 0.001% لتصحيح أخطاء حجم صورة القراءة وبعض عمليات البحث السريعة.

البناء على النوافذ

ملحوظة: Currenlty Bulk_extractor 2.1 لا يعتمد على النوافذ، لكن 2.0 يفعل ذلك.

إذا كنت ترغب في إنشاء نظام التشغيل Windows، فيجب عليك التحويل البرمجي المتبادل من نظام Fedora. ابدأ بجهاز افتراضي نظيف واستخدم هذه الأوامر: 

 $ git clone --recurse-submodules https://github.com/simsong/bulk_extractor.git
$ cd bulk_extractor/etc
$ bash CONFIGURE_FEDORA36_win64.bash
$ cd ..
$ make win64

ملاحظات إصدار BULK_EXTRACTOR 2.0

الإصدار 2.1.1 (26 أبريل 2024)

تمت إعادة تسمية مسجل ميزات jpeg_carved إلى jpeg، بحيث يمكن ضبط وضع jpeg carve باستخدام -S jpeg_carve_mode=2، بدلاً من -S jpeg_carved_carve_mode=2، الأمر الذي كان مربكًا.

الإصدار 2.0

bulk_extractor 2.0 (BE2) أصبح جاهزًا للعمل الآن. على الرغم من أنه يعمل مع العارض المستند إلى Java، إلا أنه ليس لدينا حاليًا برنامج تثبيت يعمل ضمن نظام Windows.

يتطلب BE2 C++ 17 لتجميعه. فهو يتطلب https://github.com/simsong/be13_api.git كوحدة فرعية، والتي بدورها تتطلب dfxml كوحدة فرعية.

استغرق المشروع وقتا أطول مما كان متوقعا. بالإضافة إلى التحديث إلى C++ 17، تم استخدامه كفرصة لإعادة هيكلة التعليمات البرمجية على نطاق واسع وزيادة عامة في جودة التعليمات البرمجية وقابلية الاختبار والموثوقية. ستظهر مقالة عن التجربة في العدد القادم من ACM Queue

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل
تعليقات المستخدمين