使用TScopy访问已锁定的文件

最新推荐文章于 2022-12-09 22:27:41 发布
最新推荐文章于 2022-12-09 22:27:41 发布
阅读量168 收藏
点赞数
分类专栏: 网络安全 文章标签: python git windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43977912/article/details/120648975
版权

关于TScopy
在事件响应(IR)过程中,研究人员通常需要访问或分析文件系统上的文件。有时这些文件会因为正在使用而被操作系统(OS)锁定,这就很尴尬了。TScopy允许以管理员权限运行的用户通过解析文件系统中的原始位置并在不询问操作系统的情况下复制文件来访问锁定的文件。

当然了,社区还有很多能够执行类似任务的其他工具,比如说RawCopy,而我们的TScopy也是基于该工具开发出来的。然而,RawCopy也有一些缺点,这也是我们开发TScopy的原因,并且提升了工具性能和集成扩展性。

TScopy是一个Python脚本,可以用于解析NTFS $MFT文件以定位和复制特定文件。通过分析主文件表(MFT),脚本绕过了文件上的操作系统锁。此前的RawCopy是用AutoIT编写的,很难修改,因此我们才决定将RawCopy移植到Python上。

TScopy被设计成可以作为一个独立的程序运行或作为一个python模块导入使用。

TScopy和RawCopy的区别
TScopy是用Python编写的,并且被组织成类,以使它比AutoIT更易于维护和可读。而AutoIT可能会被反病毒产品标记为恶意组件,因为现在有很多恶意软件已经开始利用它来实现攻击了。

TScopy和RawCopy的主要区别在于每次执行时可以复制多个文件,并且可以缓存文件结构。TScopy提供了下载单个文件、多个逗号分隔文件、目录内容、通配符路径(单个文件或目录)和递归目录的选项。TScopy在迭代目标文件的完整路径时缓存每个目录和文件的位置。然后,它使用此缓存优化对任何其他文件的搜索,确保以后的文件拷贝执行得更快。与RawCopy相比,这是一个显著的优势,RawCopy则会迭代每个文件的整个路径。

工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/trustedsec/tscopy.git

工具使用样例
下列命令会将SYSTEM注册表信息拷贝至e:\outputdir,新文件路径为“e:\outputdir\windows\system32\config\SYSTEM”:
TScopy_x64.exe -f c:\windows\system32\config\SYSTEM -o e:\outputdir
下列命令会将SYSTEM注册表信息拷贝至e:\outputdir,但是会忽略之前缓存的文件,并且不会将当前缓存保存至磁盘中:
TScopy_x64.exe -f c:\windows\system32\config\SYSTEM,c:\windows\system32\config\SOFTWARE -o e:\outputdir

项目地址
TScopy:https://github.com/trustedsec/tscopy

在这里插入图片描述

Lockless:无锁允许复制锁定文件
04-14
锁少 LockLess是一个C#工具,允许枚举打开的文件句柄和复制锁定文件。 它的灵感来自的并且还借鉴了。 使用NtQuerySystemInformation:SystemHandleInformation枚举句柄。 要复制锁定文件,请执行以下代码: 打开具有DuplicateHandle权限的文件锁的进程。 使用DuplicateHandle()复制与我们要复制的文件关联的特定文件句柄。 使用CreateFileMapping()创建重复文件句柄的映射。 使用MapViewOfFile()将整个文件映射到内存中。 使用WriteFile()将映射的内容写到指定的临时文件中。 LockLess已获得BSD 3-Clause许可的许可。 用法 C:\Temp\LockLess.exe LockLess.exe <file> [/proces
tscopy-master_dsp_tool_
10-02
在压缩包文件名称列表中,只有一个条目“tscopy-master”,这可能是该工具的源代码仓库、安装包或者一个包含相关文档和执行文件的目录。如果这是源代码,用户可能需要编译才能使用;如果是预编译的二进制文件,用户...
ts深拷贝
最新发布
liuxuanwei1998的博客
12-09 680
@param _obj 可选 返回传入的@param _object 必须是js的{}对象,return new Error('传入参数***_object***类型错误')* @param _object 如果不传返回为空对象 必须是js的{}对象。* @param copy 深拷贝。
TS 浅拷贝和深拷贝方法
喝口我的爽肤水的博客
08-12 5897
TS 浅拷贝和深拷贝方法代码及其相关注释
vue、ts实现复制文本添加自选内容实践
huangfengnt的博客
06-02 831
vue、ts实现复制文本添加自选内容实践
tscopy-master:DSP工具的实用新选择
资源摘要信息:"tscopy-master_dsp_tool_" ...如果“tscopy-master”是一个开源工具,那么用户可以通过访问其在线仓库,如GitHub,来获取更全面的信息,包括使用说明、API文档、示例代码和社区支持等。
m3u8 ts文件利用系统工具COPY合并序列TS文件
buxchang的专栏
07-20 1687
3、生成COPY语句,TS文件由升序排列copy/b16.ts+17.ts+18.ts+19.ts+20.ts...前面是一个数字串的规则我们不管。一会我们重命名的时候,只要记录尾数的序号。将尾数(16、17、18...存入数组)2、不破坏文件命名规则-重命名,并保存在一个INT数组。1、批量下载.ts文件到系统文件夹,4、打开CMD,复制语句执行。...
ts 深拷贝
02-15 2390
type _typeObj = { [anyKey: string]: any } /** * @param copy 深拷贝 * @param _object 如果不传返回为空对象 必须是js的{}对象 * @param _obj 可选 返回传入的@param _object 必须是js的{}对象, */ export const copy = (_object: _typeObj, _obj: _typeObj = {}): _typeObj => { if (!(Object.
ts 简单的对象深拷贝
老黑
12-10 6981
简单的通过循环对象的 key , 如果 key 还是一个对象 通过递归来不断的进行对象的拷贝。 export function deepMerge(...objs: any[]): any { const result = Object.create(null) objs.forEach(obj => { if (obj) { Object.keys(obj...
TS之一段深拷贝代码
Guard777的博客
08-29 2128
TS写一段对象深拷贝代码1.为什么写下这篇文章?(直接看代码,可下滑至2.)2.深拷贝代码(试用TS)3.使用clone方法,解决刚刚我没能想得到的结果 1.为什么写下这篇文章?(直接看代码,可下滑至2.) 我在开发项目的过程中,定义了一个any类型a,还有一个any数组b(在这篇文章中用a,b来代替啊,并不是说我的项目就是用a,b写的啊),我想实现的是在一个方法结束时,将a的值推入b中,然后修改a中index或者type的值,有时候只修改一个,有时候两个一起修改,再次等方法结束将a推入b。。。 具体我就不
JavaScript之浅拷贝与深拷贝
TSORA-C的博客
05-22 409
JavaScript之浅拷贝与深拷贝浅拷贝深拷贝 如何区分深拷贝与浅拷贝,简单点来说,就是假设B复制了A,当修改A时,看B是否会发生变化,如果B也跟着变了,说明这是浅拷贝,拿人手短,如果B没变,那就是深拷贝,自食其力。 浅拷贝 let a = [1, 2, 3, 4, 5]; let b = a; console.log(a===b);// true b[0]=6; console.log(a==...
合并多个ts文件,处理加密的ts文件
zqin0的博客
05-28 7642
对于可直接打开的ts文件 100个以下ts文件使用copy命令合并 copy /b *.ts output.ts /b 表示以二进制的形式合并 或者使用ffmpeg.exe 合并 需先下载ffmpeg程序地址http://ffmpeg.org/ 注意使用ffmpeg 合并ts文件时需提供.m3u8文件 ffmpeg -i D:/Desktop/mv/mv.m3u8 -c copy D:/Desktop/mv/mv.mp4 对于部分加密过的ts文件,无法直接打开...
使用wireshark对HTTPS解密
热门推荐
weixin_43977912的博客
03-11 2万+
最近需要解析HTTPS流量,所以对wireshark的HTTPS解密进行了实测。 使用wireshark解密https的方法 方法一: 1、在wireshark的首选项中的protocols的tls选项里添加服务器私钥文件。p12文件需要填写密码。 2、从整个会话开始前开始抓包。 3、https数据包自动解密为http格式的包。 方法二: 1、使用chrome浏览器浏览页面,在系统环境变量中设置SSLKEYLOGFILE=C:\ssl_key\sslog.log(可变),将对应的文件同时添加到的首选项中
四千个厂商默认账号密码 默认登录凭证
weixin_43977912的博客
02-07 2万+
Product/Vendor Username Password Zyxel (ssh) zyfwp PrOw!aN_fXp APC UPS (web) apc apc Weblogic (web) system manager Weblogic (web) system manager Weblogic (web) weblogic weblogic1 Weblogic (web) WEBLOGIC WEBLOGIC Weblogic (web) PUBLIC PUBLIC Weblogic (web)
Powershell简介
weixin_43977912的博客
04-20 1万+
Powershell简介 PowerShell是一种功能强大的脚本语言和shell程序框架,主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作,然而,这些特性被攻击者理解并转化为攻击特性,也就成为了攻击者手中的攻城利器,给企业网络造成威胁。 百度百科解释: Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framew
HW护网即将开始4.6
weixin_43977912的博客
03-16 5721
今年护网时间在清明节之后,大约4.6号左右就会开始,提前一周进场,所以三月底小伙伴们差不多就已经进入状态了。今年我在北京xxx集团担任防守方。。。 攻击方总结 一个攻击队拿下一个企业核心系统的时间需要根据目标的安全防护程度来决定,一般情况下会需要大量的时间投入,假如是APT的话甚至要潜伏数年才能获得想要的数据。但是在护网行动中规定的时间可能仅仅不到一个月,而且每个攻击队伍都有许多个目标,那也就意味着排除提前几个月做护网踩点探测的情况下,攻击方要在短时间内快速的获取目标信息,并针对性的发动有效攻击才能完成自己
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值