bulk_extractor
Release 2.1.1
bulk_extractor adalah alat eksploitasi forensik digital berkinerja tinggi. Ini adalah tombol "dapatkan bukti" yang dengan cepat memindai segala jenis masukan (gambar disk, file, direktori file, dll) dan mengekstrak informasi terstruktur seperti alamat email, nomor kartu kredit, cuplikan JPEG dan JSON tanpa menguraikan sistem file atau struktur sistem file. Hasilnya disimpan dalam file teks yang mudah diperiksa, dicari, atau digunakan sebagai masukan untuk pemrosesan forensik lainnya. bulk_extractor juga membuat histogram dari jenis fitur tertentu yang ditemukan, seperti istilah penelusuran Google dan alamat email, karena penelitian sebelumnya menunjukkan bahwa histogram tersebut sangat berguna dalam aplikasi investigasi dan penegakan hukum.
Tidak seperti alat forensik digital lainnya, bulk_extractor menyelidiki setiap byte data untuk melihat apakah itu adalah awal dari suatu urutan yang dapat didekompresi atau didekodekan. Jika demikian, data yang didekodekan akan diperiksa ulang secara rekursif. Hasilnya, bulk_extractor dapat menemukan hal-hal seperti JPEG yang dikodekan BASE64 dan objek JSON terkompresi yang tidak dimiliki alat ukiran tradisional.
Ini adalah cabang pengembangan bulk_extractor 2.1! Ini dapat diandalkan, tetapi jika Anda ingin memiliki rilis kualitas produksi yang teruji dengan baik, unduh rilis dari https://github.com/simsong/bulk_extractor/releases.
bulk_extractor Kami merekomendasikan membangun dari sumber. Kami menyediakan sejumlah skrip bash di direktori etc/ yang akan mengkonfigurasi mesin virtual bersih:
git clone --recurse-submodules https://github.com/simsong/bulk_extractor.git
./bootstrap.sh
./configure
make
make install
Untuk instruksi rinci tentang menginstal paket dan membangun bulk_extractor, baca halaman wiki di sini: https://github.com/simsong/bulk_extractor/wiki/Installing-bulk_extractor
Untuk informasi lebih lanjut tentang bulk_extractor, kunjungi: https://forensics.wiki/bulk_extractor
Rilis bulk_extractor ini memerlukan C++17 dan telah diuji untuk dikompilasi pada platform berikut:
Anda harus selalu memulai dengan VM baru dan mempersiapkan sistem menggunakan skrip persiapan yang sesuai di direktori etc/ .
Jika Anda sedang menulis karya ilmiah dan menggunakan bulk_extractor, harap kutip dengan:
Garfinkel, Simson, Triase media digital dengan analisis data massal dan bulk_extractor. Komputer dan Keamanan 32: 56-72 (2013)
@article{10.5555/2748150.2748581,
author = {Garfinkel, Simson L.},
title = {Digital Media Triage with Bulk Data Analysis and Bulk_extractor},
year = {2013},
issue_date = {February 2013},
publisher = {Elsevier Advanced Technology Publications},
address = {GBR},
volume = {32},
number = {C},
issn = {0167-4048},
journal = {Comput. Secur.},
month = feb,
pages = {56–72},
numpages = {17},
keywords = {Digital forensics, Bulk data analysis, bulk_extractor, Stream-based forensics, Windows hibernation files, Parallelized forensic analysis, Optimistic decompression, Forensic path, Margin, EnCase}
}
Variabel lingkungan berikut dapat diatur untuk mengubah pengoperasian bulk_extractor :
| Variabel | Perilaku |
|---|---|
DEBUG_BENCHMARK_CPU | Sertakan informasi benchmark CPU dalam file report.xml |
DEBUG_NO_SCANNER_BYPASS | Menonaktifkan logika bypass pemindai yang melewati beberapa pemindai jika sbuf berisi ngram atau tidak memiliki jumlah karakter berbeda yang tinggi. |
DEBUG_HISTOGRAMS | Cetak informasi debug pada histogram berbasis file. |
DEBUG_HISTOGRAMS_NO_INCREMENTAL | Jangan gunakan histogram berbasis memori tambahan. |
DEBUG_PRINT_STEPS | Mencetak ke stdout ketika setiap pemindai dipanggil untuk setiap sbuf |
DEBUG_DUMP_DATA | Hex-dump setiap sbuf yang akan dipindai. |
DEBUG_SCANNERS_IGNORE | Daftar pemindai yang dipisahkan koma untuk diabaikan (tidak dimuat). Berguna untuk men-debug pengujian unit. |
Petunjuk lain untuk debugging:
Catatan: Saat ini bulk_extractor 2.1 tidak dibangun di atas windows, namun 2.0 membangunnya.
Jika Anda ingin membangun untuk Windows, Anda harus melakukan kompilasi silang dari sistem Fedora. Mulailah dengan VM yang bersih dan gunakan perintah ini:
$ git clone --recurse-submodules https://github.com/simsong/bulk_extractor.git
$ cd bulk_extractor/etc
$ bash CONFIGURE_FEDORA36_win64.bash
$ cd ..
$ make win64
Mengganti nama perekam fitur jpeg_carved menjadi jpeg, sehingga mode ukiran jpeg dapat diatur dengan -S jpeg_carve_mode=2, bukan -S jpeg_carved_carve_mode=2, yang membingungkan.
bulk_extractor 2.0 (BE2) sekarang beroperasi. Meskipun berfungsi dengan penampil berbasis Java, saat ini kami tidak memiliki penginstal yang berjalan di Windows.
BE2 membutuhkan C++17 untuk dikompilasi. Ini memerlukan https://github.com/simsong/be13_api.git sebagai sub-modul, yang selanjutnya memerlukan dfxml sebagai sub-modul.
Proyek ini memakan waktu lebih lama dari yang diperkirakan. Selain memperbarui ke C++17, Ini digunakan sebagai peluang untuk pemfaktoran ulang kode secara besar-besaran dan peningkatan umum dalam kualitas, kemampuan pengujian, dan keandalan kode. Artikel tentang eksperimen ini akan muncul di ACM Queue edisi mendatang
