hashफोरेंसिक ऑडिटिंग का पहला चरण है। यह ऑडिट फ़ाइलें तैयार करता है जिनसे फ़ाइल की अखंडता की पुष्टि की जा सकती है।

उपकमांड हैश का मूल उपयोग

auditor hash input_path

यह करेगा:

1. input_pathडिफ़ॉल्ट एल्गोरिथ्म ( sha256) के साथ हैश फ़ाइलें
2. ऑडिट फ़ाइलें उत्पन्न करें (डिफ़ॉल्ट पथ: रूट के अंदर input_path):
   • Audit_FullList: में फ़ाइलों का अखंडता डेटा (हैश, आकार, नाम) शामिल है input_path। डिफ़ॉल्ट नाम: _auditor_hashes.txt
   • Audit_Stamp: में केवल की अखंडता डेटा शामिल है Audit_FullList। डिफ़ॉल्ट नाम: _auditor_stamp.txt.यह वह फ़ाइल है जिसे सभी अखंडता श्रृंखला की जांच सुनिश्चित करने के लिए मुद्रित या डिजिटल रूप से हस्ताक्षरित करने की आवश्यकता है।
3. अखंडता डेटा दिखाएंAudit_FullList

इसके बाद hash, आप checkअखंडता की पुष्टि करने के लिए कमांड चला सकते हैं। भविष्य में अखंडता की जाँच ठीक से सुनिश्चित करने के लिए, अखंडता श्रृंखला अनुभाग पढ़ें और वहाँ दी गई सलाह का पालन करें।

अन्य उदाहरण:

1. केवल हैश उत्पन्न करें, लेकिन कोई फ़ाइल न बनाएँ (-l)

   auditor hash input_path -l

2. डिफ़ॉल्ट एल्गोरिथ्म के साथ फास्ट-डिस्क (-z) का उपयोग करके ऑडिट फ़ाइलों (-o) को अधिलेखित करें (तेज़ होने के लिए SSD डिस्क के साथ उपयोगी):

   auditor hash input_path -o -z 

3. उपरोक्त के समान, लेकिन सख्त मोड सक्षम के साथ, यह सुनिश्चित करने के लिए कि input_path में सभी फ़ाइलें हैश की गई हैं:

   auditor hash input_path -o -z --strict

4. ऑडिट फ़ाइलों को अधिलेखित करें (-o), thash विधि (-d) का उपयोग किए बिना:

   auditor hash input_path -o -d 

5. ऑडिट फ़ाइलों को अधिलेखित करें (-o), केवल txt फ़ाइलों को शामिल करें (-i "**/*.txt") केवल रूट फ़ोल्डर में (-u 1) (फ़्लैग -i और -e ग्लोब पैटर्न का उपयोग करें, विवरण के लिए नोट्स देखें)।

   auditor hash input_path -o -i "**/*.txt" -u 1

6. ऑडिट फ़ाइलों को अधिलेखित करें (-o), txt फ़ाइलों को छोड़कर सभी फ़ाइलों को शामिल करें (-e "**/*.txt")

   auditor hash input_path -o -e "**/*.txt" 

7. ऑडिट फ़ाइलों को अधिलेखित करें (-o), केवल "file1.doc" (-i "**/*/file1.doc") और "file2.xls" (-i "**/*/file2.xls") नाम वाली फ़ाइलें शामिल करें

   auditor hash input_path -o -i "**/*/file1.doc"  -i "**/*/file2.xls" 

8. ऑडिट फ़ाइलों को अधिलेखित करें (-o), $RECYCLE.BIN और "सिस्टम वॉल्यूम जानकारी" फ़ोल्डरों के अंदर की फ़ाइलों को छोड़कर, सभी फ़ाइलों को शामिल करें। अवलोकन: $RECYLE.BIN में $ अक्षर नाम से संबंधित है और इसे सही ढंग से पार्स करने के लिए पहले \ अक्षर से एस्केप करना होगा!

   auditor hash input_path -o -e "**/\$RECYCLE.BIN/**" -e "**/System Volume Information/**" 

9. ऑडिट फ़ाइलों को अधिलेखित करें (-o), सभी txt फ़ाइलों को शामिल करें (-i "**/*/*.txt"), फ़ोल्डर1 नामक निर्देशिका के अंदर की फ़ाइल को छोड़कर (-e "**/*/folder1/*")

   auditor hash input_path -z -o -a blake3 -i "**/*/*.txt" -e "**/*/folder1/*" 

10. ऑडिट फ़ाइलों को अधिलेखित करें (-o), फ़ास्ट-डिस्क (-z) और एल्गोरिथ्म 'blake3' (बहुत तेज़) का उपयोग करें:

    auditor hash input_path -o -z -a blake3

11. ऑडिट फ़ाइलों को अधिलेखित करें (-o), blockSize 10MB और 'whirlpool' हैश फ़ंक्शन का उपयोग करें

    auditor hash input_path -o -b 10MB -a whirlpool

सभी विकल्प दिखाएँ: (auditor hash --help

lockयह तब उपयोगी होता है जब मौजूदा ऑडिट फ़ाइलों को संरक्षित रखना आवश्यक हो। इसका उपयोग after hashinput_path कमांड में किया जा सकता है और . में नई ऑडिट फ़ाइलों के आकस्मिक निर्माण को रोका जा सकता है ।

उपकमांड लॉक का मूल उपयोग

auditor lock input_path

यह करेगा:

1. निर्माण टाइमस्टैम्प के साथ _auditor_lock.txtएक फ़ाइल बनाएँ .input_path
2. हैश उपकमांड को लॉक किए गए पर निष्पादित नहीं किया जाएगा input_path।

अनलॉक करने के लिए input_path, आपको फ़ाइल को मैन्युअल रूप से हटाना होगा_auditor_lock.txt

सभी विकल्प दिखाएँ: (auditor lock --help

checkफोरेंसिक ऑडिटिंग का दूसरा चरण है। यह ऑडिट फ़ाइलों में मौजूद जानकारी का उपयोग करके डेटा की अखंडता की जाँच करता है और हैशिंग के बाद इसका उपयोग किया जा सकता है।

उपकमांड चेक का मूल उपयोग

auditor check input_path

यह करेगा:

1. ऑडिट फ़ाइलें प्राप्त करें (डिफ़ॉल्ट पथ: रूट के अंदर input_path):
2. में सूचीबद्ध अखंडता डेटा का उपयोग करें Audit_Stampऔर इसके विरुद्ध जाँच करें Audit_FullList।
3. में सूचीबद्ध अखंडता डेटा का उपयोग करें Audit_FullListऔर मूल फ़ाइलों के विरुद्ध जाँच करें input_path।
4. का पुनर्गणना किया गया अखंडता डेटा दिखाएं Audit_FullList.

अन्य उदाहरण:

1. डिफ़ॉल्ट ऑडिट फ़ाइलों का उपयोग करके, फास्ट-डिस्क मोड (-z) में जाँच करें।

   auditor check input_path -z 

2. उपरोक्त के समान, लेकिन सख्त मोड सक्षम के साथ, यह सुनिश्चित करने के लिए कि input_path में सभी फाइलें सत्यापित हैं।

   auditor check input_path -z --strict

3. केवल txt फ़ाइलें (-i "**/*.txt") जांचें, डिफ़ॉल्ट ऑडिट फ़ाइलों का उपयोग करें (फ़्लैग -i और -e ग्लोब पैटर्न का उपयोग करें, विवरण के लिए नोट्स देखें)।

   auditor check input_path -i "**/*.txt"

4. डिफ़ॉल्ट ऑडिट फ़ाइलों का उपयोग करते हुए, शांत मोड (-q) में जाँच करें और पहली त्रुटि (-x) पर रोकें।

   auditor check input_path -q -x

5. विशिष्ट नामों वाली ऑडिट फ़ाइलों का उपयोग करके F:\data_path की जाँच करें। (-f से <Audit_FullList> और -s से <Audit_Stamp>)

   auditor check F:\data_path -f C:\other_path\personal_fullList.txt -s C:\other_path\personal_stamp.txt -q -x 

6. <input_path> में केवल एक फ़ाइल की अखंडता की जाँच किसी ऑडिट फ़ाइल के विरुद्ध करें

   auditor check F:\data_path\file1.txt -f C:\other_path\some_audit.txt -q -x 

नोट: ऑडिटर जांच fsum प्रारूप के साथ संगत है।

सभी विकल्प दिखाएँ: (auditor check --help

cloneइसका उपयोग डेटा को अंदर कॉपी करने और साथ ही कॉपी किए गए डेटा की अखंडता को सत्यापित करने के लिए किया जाता input_pathहै dest_path।

उपकमांड क्लोन का मूल उपयोग

auditor clone input_path dest_path

यह करेगा:

1. से फ़ाइलें प्राप्त करें input_path, अखंडता डेटा (हैश, आकार, नाम) उत्पन्न करें;
2. फ़ाइलों को कॉपी करें dest_path;
3. dest_pathमें उत्पन्न अखंडता डेटा के विरुद्ध में फ़ाइलों की अखंडता की जाँच करें input_path।
4. यदि ऑडिट फ़ाइलें मौजूद नहीं हैं, तो आप उन्हें input_pathऔर/या dest_path-g विकल्प का उपयोग करके बना सकते हैं। यदि ऑडिट फ़ाइलें मौजूद हैं, तो आप उन्हें नहीं बना सकते।

त्रुटि की स्थिति में, यह पुनः प्रयास करेगा (डिफ़ॉल्ट 3 बार है, जिसे बदला जा सकता है।)

अन्य उदाहरण:

1. फास्ट-डिस्क मोड (-z) में.

   auditor clone input_path dest_path -z 

2. उपरोक्त के समान, लेकिन सख्त मोड सक्षम के साथ, यह सुनिश्चित करने के लिए कि input_path में सभी फ़ाइलें क्लोन की गई हैं:

   auditor clone input_path dest_path --strict

3. शांत मोड में (-q) और पहली त्रुटि पर रुकें (-x)।

   auditor clone input_path dest_path -q -x

4. input_path और dest_path दोनों में ऑडिट फ़ाइलों के निर्माण के साथ क्लोनिंग (नोट्स देखें!)।

   auditor clone input_path dest_path -g both 

5. केवल dest_path में ऑडिट फ़ाइलों के निर्माण के साथ क्लोनिंग।

   auditor clone input_path dest_path -g dest 

6. केवल input_path में ऑडिट फ़ाइलों के निर्माण के साथ क्लोनिंग।

   auditor clone input_path dest_path -g input 

7. आप प्रक्रिया की फ़ाइलों को शामिल या बाहर करने के लिए -i और/या -e का उपयोग कर सकते हैं (--strict के साथ उपयोग नहीं किया जा सकता)।

   auditor clone input_path dest_path -q -x -i "**/*.txt" -e "**/dir1/**/*

नोट: ऑडिट फ़ाइलें बनाने के लिए, input_pathऑडिट फ़ाइलें (Audit_FullList और Audit_Stamp) नहीं होनी चाहिए! ऐसा मौजूदा ऑडिट फ़ाइलों के साथ भ्रम को रोकने के लिए किया जाता है।

ऑडिटर क्लोन --help के साथ सभी विकल्प देखें

सभी विकल्प दिखाएँ: (auditor clone --help

infoहैश अखंडता जाँच नहीं करता। यह केवल ऑडिट फ़ाइलों और उनकी सामग्री का परीक्षण करता है input_pathऔर उपयोगी जानकारी दिखाता है। हैश जाँच के बाद इसका उपयोग किया जा सकता है।

फोरेंसिक जानकारी का उदाहरण

auditor info input_path

यह करेगा:

1. ऑडिट फ़ाइलें प्राप्त करें (डिफ़ॉल्ट पथ: रूट के अंदर input_path):
2. सत्यापित करें कि ऑडिट फ़ाइलें मौजूद हैं Audit_Stampया नहीं।Audit_FullList
3. Audit_Stampसत्यापित करें कि क्या और में सूचीबद्ध फ़ाइलें Audit_FullListमौजूद हैं और सूचीबद्ध आकार वही है जो input_path.
4. सत्यापित करें कि क्या सभी फ़ाइलें input_pathसूचीबद्ध हैं Audit_FullList.
5. Audit_FullList ऑडिट फ़ाइल के विरुद्ध अखंडता डेटा की पुनः गणना करें और जाँच करेंAudit_Stamp
6. फ़ाइलों के आकार और सभी input_path की रिपोर्ट दें।

सभी विकल्प दिखाएँ: (auditor info --help