這篇文章主要講解了“TScopy和RawCopy的區(qū)別是什么”,文中的講解內(nèi)容簡單清晰,易于學(xué)習(xí)與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學(xué)習(xí)“TScopy和RawCopy的區(qū)別是什么”吧!
開原ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景,ssl證書未來市場廣闊!成為創(chuàng)新互聯(lián)建站的ssl證書銷售渠道,可以享受市場價(jià)格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:13518219792(備注:SSL證書合作)期待與您的合作!
在事件響應(yīng)(IR)過程中,研究人員通常需要訪問或分析文件系統(tǒng)上的文件。有時(shí)這些文件會(huì)因?yàn)檎谑褂枚徊僮飨到y(tǒng)(OS)鎖定,這就很尷尬了。TScopy允許以管理員權(quán)限運(yùn)行的用戶通過解析文件系統(tǒng)中的原始位置并在不詢問操作系統(tǒng)的情況下復(fù)制文件來訪問鎖定的文件。
當(dāng)然了,社區(qū)還有很多能夠執(zhí)行類似任務(wù)的其他工具,比如說RawCopy,而我們的TScopy也是基于該工具開發(fā)出來的。然而,RawCopy也有一些缺點(diǎn),這也是我們開發(fā)TScopy的原因,并且提升了工具性能和集成擴(kuò)展性。
TScopy是一個(gè)Python腳本,可以用于解析NTFS $MFT文件以定位和復(fù)制特定文件。通過分析主文件表(MFT),腳本繞過了文件上的操作系統(tǒng)鎖。此前的RawCopy是用AutoIT編寫的,很難修改,因此我們才決定將RawCopy移植到Python上。
TScopy被設(shè)計(jì)成可以作為一個(gè)獨(dú)立的程序運(yùn)行或作為一個(gè)python模塊導(dǎo)入使用。
TScopy是用Python編寫的,并且被組織成類,以使它比AutoIT更易于維護(hù)和可讀。而AutoIT可能會(huì)被反病毒產(chǎn)品標(biāo)記為惡意組件,因?yàn)楝F(xiàn)在有很多惡意軟件已經(jīng)開始利用它來實(shí)現(xiàn)攻擊了。
TScopy和RawCopy的主要區(qū)別在于每次執(zhí)行時(shí)可以復(fù)制多個(gè)文件,并且可以緩存文件結(jié)構(gòu)。TScopy提供了下載單個(gè)文件、多個(gè)逗號分隔文件、目錄內(nèi)容、通配符路徑(單個(gè)文件或目錄)和遞歸目錄的選項(xiàng)。TScopy在迭代目標(biāo)文件的完整路徑時(shí)緩存每個(gè)目錄和文件的位置。然后,它使用此緩存優(yōu)化對任何其他文件的搜索,確保以后的文件拷貝執(zhí)行得更快。與RawCopy相比,這是一個(gè)顯著的優(yōu)勢,RawCopy則會(huì)迭代每個(gè)文件的整個(gè)路徑。
廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:
git clone https://github.com/trustedsec/tscopy.git
.\TScopy_x64.exe -h usage: TScopy_x64.exe -r -o c:\test -f c:\users\tscopy\ntuser.dat Description: Copies only the ntuser.dat file to the c:\test directory TScopy_x64.exe -o c:\test -f c:\Windows\system32\config Description: Copies all files in the config directory but does not copy the directories under it. TScopy_x64.exe -r -o c:\test -f c:\Windows\system32\config Description: Copies all files and subdirectories in the config directory. TScopy_x64.exe -r -o c:\test -f c:\users\*\ntuser*,c:\Windows\system32\config Description: Uses Wildcards and listings to copy any file beginning with ntuser under users accounts and recursively copies the registry hives. Copy protected files by parsing the MFT. Must be run with Administrator privileges optional arguments: -h, --help show this help message and exit -f FILE, --file FILE Full path of the file or directory to be copied. Filenames can be grouped in a comma ',' seperated list. Wildcard '*' is accepted. -o OUTPUTDIR, --outputdir OUTPUTDIR Directory to copy files too. Copy will keep paths -i, --ignore_saved_ref_nums Script stores the Reference numbers and path info to speed up internal run. This option will ignore and not save the stored MFT reference numbers and path -r, --recursive Recursively copies directory. Note this only works with directories.
其中還有一個(gè)隱藏的“--debug”選項(xiàng),該選項(xiàng)可以啟用調(diào)試模式輸出。
下列命令會(huì)將SYSTEM注冊表信息拷貝至e:\outputdir,新文件路徑為“e:\outputdir\windows\system32\config\SYSTEM”:
TScopy_x64.exe -f c:\windows\system32\config\SYSTEM -o e:\outputdir
下列命令會(huì)將SYSTEM注冊表信息拷貝至e:\outputdir,但是會(huì)忽略之前緩存的文件,并且不會(huì)將當(dāng)前緩存保存至磁盤中:
TScopy_x64.exe -f c:\windows\system32\config\SYSTEM,c:\windows\system32\config\SOFTWARE -o e:\outputdir
下列命令會(huì)將SYSTEM和SOFTWARE注冊表信息拷貝至e:\outputdir:
TScopy_x64.exe -f c:\windows\system32\config\ -o e:\outputdir
下列命令可以將目錄配置內(nèi)容拷貝至e:\outputdir:
TScopy_x64.exe -r -f c:\windows\system32\config\ -o e:\outputdir
下列命令可以將目錄配置內(nèi)容遞歸拷貝至e:\outputdir:
TScopy_x64.exe -f c:\users\*\ntuser.dat -o e:\outputdir
下列命令可以將每一個(gè)用戶NTUSER.DAT文件拷貝至e:\outputdir:
TScopy_x64.exe -f c:\users\*\ntuser.dat* -o e:\outputdir
針對每一個(gè)用戶,拷貝所有以NTUSER.DAT開頭的文件至e:\outputdir:
TScopy_x64.exe -f c:\users\*\AppData\Roaming\Microsoft\Windows\Recent,c:\windows\system32\config,c:\users\*\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt -o e:\outputdir
感謝各位的閱讀,以上就是“TScopy和RawCopy的區(qū)別是什么”的內(nèi)容了,經(jīng)過本文的學(xué)習(xí)后,相信大家對TScopy和RawCopy的區(qū)別是什么這一問題有了更深刻的體會(huì),具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是創(chuàng)新互聯(lián),小編將為大家推送更多相關(guān)知識點(diǎn)的文章,歡迎關(guān)注!