[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: /dev/hddX den string arama




Söz konusu yazilimin dokümantasyonunu biraz daha kurcalamanizi öneririm.

Web sayfasinda şöyle bir ibare var:

"Analyzes file system images generated by the 'dd' command, which is found on all UNIX systems and is available for Windows systems. This is a raw format and not proprietary."

Belki de önce ilgili "partition"i dd yazilimi ile bir yere aktarip sonra bunun üzerinde arama tarama
yapabilirsiniz, bu secenegi de göz ardi etmeyin.

Mehmet Turker wrote:

Teşekkür ederim. Bu baya hızlı arama yapıyor. Ama birşey bulabilmiş değilim.
O da sadece lost+found u buluyor:

keiko:/# ./fls -f linux-ext2 /dev/hdd1
d/d 14: lost+found


Benimki tamamen dağılmış demekki. Ama egrep le baktığımda eski yazılarımdan
buluyorum (yavaş yavaş). Yine de biraz daha uğraşayım bakalım. Bir de bu
autospy gibi birşey tavsiye etmiş onu da derledim web arabirimli birşey ama
arama yapamadım bir türlü, verdiğim host a hata veriyor devamlı.

Mehmet Türker
http://www.turker.name.tr





-----Original Message-----
From: Emre Sevinç [mailto:emres@bilgi.edu.tr] Sent: Wednesday, January 14, 2004 1:07 PM
To: Mehmet Turker
Cc: debian-user-turkish@lists.debian.org
Subject: Re: /dev/hddX den string arama


Selam,

Söz konusu programlar dosya sistemi aktifken dosya sistemini kullanarak is
güc yaparlar. Egrep programi da zaten "binary" degil düz metin (ASCII)
dosyalari icin calisir.

Cok daha düsük seviyeli örüntü (pattern) arama icin "forensic" yani adli
bilgi islem araclarindan faydalanmakta fayda var.

"Sleuth Kit - UNIX based File System and Media Management Forensic Analysis
Tool" diye bir sey var, is görebilir kanaatindeyim.

Sistemin özelliklerinden birkaci şöyle:

* View Allocated and Deleted Files and Directories
* Access to low-level file system structures
* Timeline of file activity
* File category sorting and extension checking
* Keyword searches including grep regular expressions*
* Supports the NTFS, FAT, FFS, EXT2FS, and EXT3FS file systems even when the
host operating system does not or has a different endian ordering.

Asagidaki adresten programa erisilebilir:

http://www.sleuthkit.org/sleuthkit/desc.php

ve

http://www.securiteam.com/tools/6H00N2A8LE.html

Umarim iş  görür :)

Iyi calismalar,
Emre Sevinç
http://www.bilgi.edu.tr


Mehmet Turker wrote:

Selam,
Daha önce kaybettiğim bir linux partitiondan backupı eksik olan bir kodu kurtarmaya (bulmaya) çalışıyorum. Şöyleki:

keiko:/# egrep -i -a -3000 aranacaktext /dev/hdd1 >> bulunanlar.log keiko:/# strings bulunanlar.log >> bulunanstr.log

aşırı uzun sürüyor ve çok kullanışlı değil. Bunun için bir tavsiyesi olan var mı?

Not: Neden mount edip bakmıyorum. Çünkü mount ettiğimde sadece boş bir
lost+found buluyorum.


Mehmet Türker
_http://www.turker.name.tr_



--
To UNSUBSCRIBE, email to debian-user-turkish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org






Reply to: