TScopy和RawCopy的區別是什么
發(fā)布時(shí)間:2021-09-27 17:30
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
這篇文章主要講解了“TScopy和RawCopy的區別是什么”��,文中的講解內容簡(jiǎn)單清晰��,易于學(xué)習與理解�����,下面請大家跟著(zhù)小編的思路慢慢深入�����,一起來(lái)研究和學(xué)習“TScopy和RawCopy的區別是什么”吧�!
關(guān)于TScopy
在事件響應(IR)過(guò)程中����,研究人員通常需要訪(fǎng)問(wèn)或分析文件系統上的文件�。有時(shí)這些文件會(huì )因為正在使用而被操作系統(OS)鎖定���,這就很尷尬了�。TScopy允許以管理員權限運行的用戶(hù)通過(guò)解析文件系統中的原始位置并在不詢(xún)問(wèn)操作系統的情況下復制文件來(lái)訪(fǎng)問(wèn)鎖定的文件�����。
當然了�����,社區還有很多能夠執行類(lèi)似任務(wù)的其他工具����,比如說(shuō)RawCopy��,而我們的TScopy也是基于該工具開(kāi)發(fā)出來(lái)的�。然而���,RawCopy也有一些缺點(diǎn)����,這也是我們開(kāi)發(fā)TScopy的原因��,并且提升了工具性能和集成擴展性�。
TScopy是一個(gè)Python腳本����,可以用于解析NTFS $MFT文件以定位和復制特定文件���。通過(guò)分析主文件表(MFT)�����,腳本繞過(guò)了文件上的操作系統鎖���。此前的RawCopy是用AutoIT編寫(xiě)的�,很難修改�,因此我們才決定將RawCopy移植到Python上����。
TScopy被設計成可以作為一個(gè)獨立的程序運行或作為一個(gè)python模塊導入使用��。
TScopy和RawCopy的區別
TScopy是用Python編寫(xiě)的�����,并且被組織成類(lèi)�,以使它比AutoIT更易于維護和可讀���。而AutoIT可能會(huì )被反病毒產(chǎn)品標記為惡意組件�,因為現在有很多惡意軟件已經(jīng)開(kāi)始利用它來(lái)實(shí)現攻擊了��。
TScopy和RawCopy的主要區別在于每次執行時(shí)可以復制多個(gè)文件�,并且可以緩存文件結構��。TScopy提供了下載單個(gè)文件����、多個(gè)逗號分隔文件�����、目錄內容�����、通配符路徑(單個(gè)文件或目錄)和遞歸目錄的選項��。TScopy在迭代目標文件的完整路徑時(shí)緩存每個(gè)目錄和文件的位置�。然后���,它使用此緩存優(yōu)化對任何其他文件的搜索����,確保以后的文件拷貝執行得更快���。與RawCopy相比��,這是一個(gè)顯著(zhù)的優(yōu)勢��,RawCopy則會(huì )迭代每個(gè)文件的整個(gè)路徑����。
工具下載
廣大研究人員可以使用下列命令將該項目源碼克隆至本地:
git clone https://github.com/trustedsec/tscopy.git
TScopy運行選項
.\TScopy_x64.exe -h
usage:
TScopy_x64.exe -r -o c:\test -f c:\users\tscopy\ntuser.dat
Description: Copies only the ntuser.dat file to the c:\test directory
TScopy_x64.exe -o c:\test -f c:\Windows\system32\config
Description: Copies all files in the config directory but does not copy the directories under it.
TScopy_x64.exe -r -o c:\test -f c:\Windows\system32\config
Description: Copies all files and subdirectories in the config directory.
TScopy_x64.exe -r -o c:\test -f c:\users\*\ntuser*,c:\Windows\system32\config
Description: Uses Wildcards and listings to copy any file beginning with ntuser under users accounts and recursively copies the registry hives.
Copy protected files by parsing the MFT. Must be run with Administrator privileges
optional arguments:
-h, --help show this help message and exit
-f FILE, --file FILE Full path of the file or directory to be copied.
Filenames can be grouped in a comma ',' seperated
list. Wildcard '*' is accepted.
-o OUTPUTDIR, --outputdir OUTPUTDIR
Directory to copy files too. Copy will keep paths
-i, --ignore_saved_ref_nums
Script stores the Reference numbers and path info to
speed up internal run. This option will ignore and not
save the stored MFT reference numbers and path
-r, --recursive Recursively copies directory. Note this only works with
directories.
其中還有一個(gè)隱藏的“--debug”選項�,該選項可以啟用調試模式輸出�。
工具使用樣例
下列命令會(huì )將SYSTEM注冊表信息拷貝至e:\outputdir�����,新文件路徑為“e:\outputdir\windows\system32\config\SYSTEM”:
TScopy_x64.exe -f c:\windows\system32\config\SYSTEM -o e:\outputdir
下列命令會(huì )將SYSTEM注冊表信息拷貝至e:\outputdir���,但是會(huì )忽略之前緩存的文件�����,并且不會(huì )將當前緩存保存至磁盤(pán)中:
TScopy_x64.exe -f c:\windows\system32\config\SYSTEM,c:\windows\system32\config\SOFTWARE -o e:\outputdir
下列命令會(huì )將SYSTEM和SOFTWARE注冊表信息拷貝至e:\outputdir:
TScopy_x64.exe -f c:\windows\system32\config\ -o e:\outputdir
下列命令可以將目錄配置內容拷貝至e:\outputdir:
TScopy_x64.exe -r -f c:\windows\system32\config\ -o e:\outputdir
下列命令可以將目錄配置內容遞歸拷貝至e:\outputdir:
TScopy_x64.exe -f c:\users\*\ntuser.dat -o e:\outputdir
下列命令可以將每一個(gè)用戶(hù)NTUSER.DAT文件拷貝至e:\outputdir:
TScopy_x64.exe -f c:\users\*\ntuser.dat* -o e:\outputdir
針對每一個(gè)用戶(hù)�,拷貝所有以NTUSER.DAT開(kāi)頭的文件至e:\outputdir:
TScopy_x64.exe -f c:\users\*\AppData\Roaming\Microsoft\Windows\Recent,c:\windows\system32\config,c:\users\*\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt -o e:\outputdir
