Средства просмотра файлов и редакторы общего назначения
Midnight Commander
Midnight Commander ( MC ) - это одно из тех инструментальных средств, которое само по себе не является средством просмотра, но имеет встроенное средство просмотра файлов. Этот инструмент стоит упомянуть, потому что мы используем его все время при быстром проходе набора данных, особенно в расследованиях, которые включают системы Unix. Midnight Commander можно загрузить с сайта http://www.gnome.org/projects/mc/.
Реализация
Когда вы загружаете MC с Web-сайта, вам, возможно, придется скомпилировать его перед использованием. В зависимости от платформы, на которой он будет выполняться, вы должны следовать соответствующим инструкциям по инсталляции, которые поставляются вместе с пакетом. MC доступен как RedHat Package Manager (RPM) для Linux и как пакет/порт в мире систем *BSD. Порт может быть расположен в каталоге /usr/ports/misc/mc на FreeBSD. MC можно вызвать следующей командой:
forensic# mc
Сразу после вызова появляется экран ( рис. 24.7). MC можно было бы охарактеризовать, как консольный вариант инструмента, выполненного в стиле Windows Explorer, который позволяет передвигаться по файловой системе и быстро просматривать файлы. В любое время вы можете нажать клавишу F9, и увидеть меню, показанное на этом рисунке, если вы не можете запомнить команды, описанные в этом разделе.
Обратите внимание, что левая панель в MC отображает содержимое рабочего каталога, в котором вы выполняете команду MC. Правая панель начинается с вашего основного каталога. Нажимая клавиши со стрелками "ВВЕРХ" и "ВНИЗ", вы можете передвигаться по файловой системе в левой панели. Нажимая клавишу TAB в этом месте, вы передадите управление правой панели. И снова, нажимая клавиши со стрелками "ВВЕРХ" и "ВНИЗ", будет передвигаться в пределах файловой системы. При передвижении по файловой системе, нажатие клавиши ENTER заменит каталог на тот, который вы подсветили. Если у вас подсвечен файл, а не каталог, то нажатие клавиши F3 вызовет внутреннее средство просмотра, как показано на рис. 24.8.
Нажав клавишу F4 при просмотре файла, вы переключите средство просмотра на шестнадцатеричный режим. Этот режим генерирует вывод, подобный выводу инструментов Hexdump и hexedit. Результаты вывода инструмента MC в шестнадцатеричном формате показаны на рис. 24.9. Повторное нажатие F4 переключает режим назад к ASCII-кодам.
Нажатие F7 в обоих режимах просмотра позволит вам искать строки в ASCII или шестнадцатеричных кодах.
увеличить изображение
Рис. 24.9. Midnight Commander может просматривать файлы в шестнадцатеричном режиме
В режиме ASCII, вы можете производить поиск с помощью регулярных выражений (regular expression), нажимая клавишу F6. Хотя регулярные выражения в контекст этой книге не обсуждаются, вы можете больше узнать о них на справочной (man) странице perlre; регулярные выражения обеспечивают мощные функциональные возможности поиска.
Вы можете также перескочить на любую позицию в файле, нажимая клавишу F5. В режиме ASCII инструмент MC спросит у вас номер строки, на которую вы хотите перейти, а в шестнадцатеричном режиме он спросит смещение в пределах открытого файла.
Закончив просмотр файла, нажмите F10 для возвращения в главное меню MC. Когда файл выбран, нажатие F4 вызовет редактирование файла редактором vi в двоичном режиме.
Нижняя часть окна MC позволяет вам набрать команду, как будто вы находитесь в командном приглашении shell. В любом месте, выбирая файл или каталог, вы можете немедленно скопировать и вставить его название в командное приглашение shell, нажимая ALT-ENTER.
Если при расследовании вы используете инструмент MC для помощи во время анализа, вам может понадобиться копировать и/или перемещать файлы из одного каталога в другой, по мере окончания их исследования. Нажмите F5 и F6, чтобы скопировать и переместить выбранный файл, соответственно, из одной панели на следующую. Если требуется удалить файл (возможно, что он не имеет отношения к вашему анализу), нажмите F8.