
Tscopy es un requisito durante una operación de respuesta a incidentes (IR) para poder analizar archivos en el sistema de archivos. A veces, estos archivos están bloqueados por el sistema operante porque están en uso, lo que es especialmente frustrante con los registros de eventos y las colmenas del registro.
El adjudicatario que ejecuta con derechos de administrador puede ceder a los archivos bloqueados analizando y copiando su ubicación sin formato en el sistema de archivos sin preguntar al sistema operante.
Existen otras herramientas que realizan funciones similares, como: B. RawCopy, que usamos y que forma la colchoneta de esta utensilio. Sin bloqueo, RawCopy tiene algunos inconvenientes que nos llevaron a desarrollar TScopy, incluido el rendimiento, el tamaño y la capacidad de integrarlo con otras herramientas.
Este blog tiene como objetivo presentar TScopy, pero además pedir ayuda. Al igual que con cualquier ampliación de software, cuanto más se usa una utensilio, más casos extremos se pueden encontrar. Pedimos a las personas que prueben la utensilio y notifiquen errores.
Que es TScopy
TScopy es un script de Python que analiza el archivo NTFS $ MFT para apañarse y copiar archivos específicos. Al analizar la tabla maestra de archivos (MFT), el script omite los bloqueos del sistema operante en los archivos. El script se basó originalmente en el trabajo de RawCopy. RawCopy está escrito en AutoIT y es difícil de modificar para nuestros propósitos. La valor de portar RawCopy a Python se tomó porque esta funcionalidad tenía que integrarse de forma nativa en nuestro conjunto de herramientas.
TScopy puede ejecutarse como un software independiente o estilarse como un módulo de Python. La implementación de Python utiliza las herramientas ntfs de Python en https://github.com/williballenthin/python-ntfs. TScopy se zócalo en la funcionalidad básica de python-ntfs para aislar la ubicación de cada archivo del disco duro sin formato.
¿Cuál es la diferencia entre TScopy?
TScopy está escrito en Python y dividido en clases para hacerlo más factible de prolongar y percibir que AutoIT. AutoIT puede ser afectado como pillo por antivirus o software de detección porque algunos malware han apurado su potencial.
La principal diferencia entre TScopy y RawCopy es la capacidad de copiar varios archivos por ejecución y juntar en elegancia la estructura del archivo. Como se muestra en la subsiguiente figura, TScopy proporciona opciones para descargar un solo archivo, varios archivos separados por comas, el contenido de un directorio, rutas comodín (archivos o directorios individuales) y directorios recursivos.
TScopy almacena en elegancia la ubicación de cada directorio y archivo mientras itera la ruta completa del archivo de destino. Este elegancia se utiliza luego para apresurar la búsqueda de otros archivos y para avalar que las copias de archivos futuras se hagan mucho más rápido. Esta es una gran superioridad sobre RawCopy, que recorre la ruta completa para cada archivo.
Opciones de TScopy
. TScopy_x64.exe -h
usar
TScopy_x64.exe -r -oc: test -fc: users tscopy ntuser.dat
Descripción: copia solo el archivo ntuser.dat en el directorio c: test
TScopy_x64.exe -oc: prueba -fc: Windows system32 config
Descripción: copia todos los archivos en el directorio de configuración, pero no copia los directorios siguientes.
TScopy_x64.exe -r -oc: prueba -fc: Windows system32 config
Descripción: copia todos los archivos y subdirectorios del directorio de configuración.
TScopy_x64.exe -r -oc: prueba -fc: usuarios * ntusuario, c: Windows system32 config Descripción: utiliza marcadores de posición y listas para copiar todos los archivos que comienzan con ntuser en Cuentas de adjudicatario y para copiar recursivamente secciones del registro. Copie archivos protegidos analizando la MFT. Debe ejecutarse con argumentos opcionales para los derechos de administrador: -h, –help muestra este mensaje de ayuda y sale -f FILE, –file FILE Ruta completa del archivo o directorio que se va a copiar. Los nombres de archivo se pueden agrupar en una inventario separada por comas. Comodín ‘‘es aceptado.
-o OUTPUTDIR, -outputdir OUTPUTDIR
Directorio para copiar archivos. Los caminos se conservan copiando
-i, -ignore_saved_ref_nums
El script tutela los números de narración y la información de la ruta en
Acelere la carrera interna. Esta opción se ignora y no
Guarde los números de narración MFT guardados y la ruta
-r, –recursive Copia el directorio de forma recursiva. Tenga en cuenta que esto solo funciona con
Directorios.
Hay una opción oculta ‘–debug’ que habilita la salida de depuración.
Ejemplos de
TScopy_x64.exe -fc: windows system32 config SYSTEM -oe: outputdir
Copia el registro del SISTEMA en e: outputdir. El nuevo archivo se encuentra en e: outputdir windows system32 config SYSTEM
TScopy_x64.exe -fc: windows system32 config SYSTEM -oe: outputdir -i
Copia el registro del SISTEMA en e: outputdir, pero ignora los archivos almacenados en elegancia previamente y no almacena el elegancia contemporáneo en el disco
TScopy_x64.exe -fc: windows system32 config SYSTEM, c: windows system32 config SOFTWARE -oe: outputdir
Copia los registros de SISTEMA y SOFTWARE en e: outputdir
TScopy_x64.exe -fc: windows system32 config -oe: outputdir
Copia el contenido de la configuración del directorio en e: outputdir
TScopy_x64.exe -r -fc: windows system32 config -oe: outputdir
Copia recursivamente el contenido de la configuración del directorio en e: outputdir
TScopy_x64.exe -fc: usuarios * ntuser.dat -oe: outputdir
Copia el archivo NTUSER.DAT de cada adjudicatario en e: outputdir
TScopy_x64.exe -fc: usuarios * ntuser.dat * -oe: outputdir
Copia para cada adjudicatario todos los archivos que comienzan con NTUSER.DAT en e: outputdi
TScopy_x64.exe -fc: Usuarios * AppData Roaming Microsoft Windows Usado recientemente, c: Windows System32 Configuration, c: Users * AppData Roaming Microsoft Windows PowerShell PSReadLine ConsoleHost_history. txt -oe: outputdir
Copia todas las listas de brinco, las secciones del registro y los comandos del historial de Powershell para cada adjudicatario en e: outputdi
Información de referencia de errores
Noticia los errores en la sección «Problemas» de la página de GitHub.
Mejoras y correcciones de errores
Lectura 2.0
- Problema 1: modifique sys.exit para exhalar una excepción
- Problema 2: Copiar archivos dos veces. Nombre completo y nombre corto.
- Problema 3: se ha añadido la capacidad de copiar recursivamente un directorio
- Problema 4: agregue soporte de comodines a la ruta. Actualmente solo admite *
- Problema 5: Se eliminó el tamaño de MFT codificado de forma rígida. El tamaño de la MFT está determinado por el sector de puesta en marcha
- Problema 6: Clase TScopy convertida a singleton. Esto permite crear una instancia de la clase una vez y que el objeto de metadatos de MFT contemporáneo se reutilice para todas las copias.
- Problema 7: Ahora se está manejando el tipo de atributo ATTRIBUTE_LIST.
- Problema 9: El tipo de atributo ATTRIBUTE_LIST no se manejó para los archivos. Esto provocó un error silencioso en archivos como SOFTWARE Regestry Hive.
- Cambios: se han añadido comentarios generales al código
- Cambios: los parámetros de entrada han cambiado. Las tres (3) opciones diferentes –archivo, –inventario y –directorio se han escaso a –archivo.
- Cambios: reestructuración del backend para confesar nuevas funciones.
HACER:
- Agregue soporte para flujos de datos alternativos (ADS)
- Verifique la compatibilidad con caracteres de ruta no ASCII