Liste des modules DFF
Modules DFF qui chargent des containers de données
Ces modules chargent des containers des données et créent un VFS.
| Nom : |
local |
| Description : |
Charger des containers de données de type RAW |
| Utilisation : |
local –path file.raw –parent parent |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation |
http://wiki.digital-forensic.org/index.php/Local |
| Nom : |
Aff |
| Description : |
Charger des containers de données de type AFF (Advanced Forensic Format) |
| Utilisation : |
aff –path file.aff –parent parent |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF |
| Nom : |
Devices |
| Description : |
Charger un disque local. |
| Utilisation : |
devices –path pathToLocaldisc –parent parent –size diskSize |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
http://wiki.digital-forensic.org/index.php/Devices |
| Nom : |
Readlines |
| Description : |
Compte le nombre des lignes dans le fichier cible. |
| Utilisation : |
readlines pathToTargetFile |
| Accessible par IHM : |
Non |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF |
Modules DFF qui chargent des volumes/partitions
| Nom : |
Partition |
| Description : |
Charge un fichier représentant un volume et crée des nœuds représentant des partitions du volume chargé. |
| Utilisation : |
partition path [–parent parent] |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
http://wiki.digital-forensic.org/index.php/Partition |
| Nom : |
VmWare |
| Description : |
Charge un fichier vmk contenant une machine virtuelle VmWare. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF |
Modules DFF qui chargent des systèmes de fichiers
| Nom : |
fat |
| Description : |
Crée des nœuds et les attachent au VFS pour un système de fichiers FAT. |
| Utilisation : |
fat path [–parent parent] |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
http://wiki.digital-forensic.org/index.php/FAT |
| Nom : |
ntfs |
| Description : |
Crée des nœuds et les attachent au VFS pour un système de fichiers NTFS. |
| Utilisation : |
ntfs path [–parent parent] |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
http://wiki.digital-forensic.org/index.php/NTFS |
| Nom : |
volatility |
| Description : |
Crée des nœuds et les attachent au VFS pour un des fichiers générés par le framework Volatility. |
| Utilisation : |
volatility –file pathToFile |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
Modules DFF qui modifient les contenu du VFS
| Nom : |
carvergui |
| Description : |
Cherche des fichiers utilisant des patterns prédéfinis ou des patterns définis par l’utilisateur. La recherche peut être par type de fichier et/ou la présence d’un pattern dans le header ou footer du fichier. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Non |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
find |
| Description : |
Cherche des fichiers utilisant un regexp Python. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
carver |
| Description : |
Même fonctionnalité que le module « carvergui » mais pour le shell |
| Utilisation : |
|
| Accessible par IHM : |
Non |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
carverui |
| Description : |
? |
| Utilisation : |
|
| Accessible par IHM : |
Non |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
diff |
| Description : |
Met en évidence les différences entre 2 nœuds. Les différences sont présentées en format hexadécimal. |
| Utilisation : |
diff –file1 path1 –file2 path2 |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
http://wiki.digital-forensic.org/index.php/Bindiff |
| Nom : |
player |
| Description : |
Ouvre les nœuds comme un fichier de son. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
web |
| Description : |
Ouvre le fichier comme une page web. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
unzip |
| Description : |
Liste le contenu d’un fichier zip et crée un nœud dans VFS pour chaque élément du fichier zip. |
| Utilisation : |
unzip path |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
http://wiki.digital-forensic.org/index.php/Unzip |
| Nom : |
unxor |
| Description : |
Applique un xor sur le contenu d’un nœud qui a été «chiffré » par un xor. |
| Utilisation : |
unxor path –key key |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
http://wiki.digital-forensic.org/index.php/Unxor |
| Nom : |
Winreg |
| Description : |
Analyse des nœuds représentants des bases des registres Windows. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
hash |
| Description : |
Calcule une valeur de hachage pour un nœud. |
| Utilisation : |
hash path [–algorithm md5|sha1|sha224|sha256|sha384|sha512] |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
http://wiki.digital-forensic.org/index.php/Hash |
| Nom : |
pff |
| Description : |
? |
| Utilisation : |
? |
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
smsdecode |
| Description : |
|
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
K800i |
| Description : |
Permet de browser le contenu d’un téléphone k800i. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
K800i-Recover |
| Description : |
Permet de récupérer une version précédente du système de fichiers d’un téléphone k800i. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
| Nom : |
timeline |
| Description : |
Isole des données concernant un nœud isolé dans un intervalle de temps spécifique. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Non |
| Lien vers la documentation : |
Pas d’informations disponible sur le site de DFF. |
| Nom : |
fileschart |
| Description : |
Affiche des statistiques graphiques sur un nœud et ses enfants. Il est conçu pour indiquer quelle proportion de chaque type de données est stockée dans le nœud. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Non |
| Lien vers la documentation : |
http://wiki.digital-forensic.org/index.php/Statistics |
| Nom : |
extract |
| Description : |
Extrait les données d’un nœud et les écrits dans un fichier sur le disk. |
| Utilisation : |
|
| Accessible par IHM : |
Oui |
| Accessible par shell : |
Oui |
| Lien vers la documentation : |
Pas d’informations disponibles sur le site de DFF. |
Adventures in the programming jungle 