dubbels uit tekst halen
Bij het uitkuisen van een tekstbestand (btw gemaakt met bulk-extractor - mogelijks libssl-dev nodig bij install) heb ik volgende scriptjes gebruikt.
Ik had een tekstbestand met in de eerste kolom de Offsets, in de tweede e-mailadressen, en in de derde kolom onbelangrijke tekst.
Om enkel de hotmail e-mailadressen te bekomen in een opgekuiste lijst (dubbels eruit)  doe je het volgende :

#  cat /pad/naar/email.txt | awk '{print $2}' | grep "hotmail" | sort | uniq  > /pad/naar/resultaat_hotmail.txt

Wil je meerdere andressen dan kun je egrep gebruiken :

#  cat /pad/naar/email.txt | awk '{print $2}' | egrep "hotmail|gmail|msn|yahoo|live" | sort | uniq  > /pad/naar/resultaat_hotmail.txt
Zoek de gewenste afbeelding
Als je met de gegevens in de Exif wil zoeken naar de gewenste foto's, zoals foto's getrokken met een bepaald fototoestel, dan kun je altijd het volgende script gebruiken :

find /pad/naar/map -type f | while read i; do file -ib "$i" | grep "image"; [ $? = 0 ] && head -c 256 "$i" | grep "Canon EOS 350D"; [ $? = 0 ] && ln -t /pad/naar/map/resultaten/ -s "$i" "${i##*/}"-$(stat -c %i "$i"); done

Nog een tweede scriptje om bij Jpg-bestanden de GPS-coordinaten van een foto te bekomen.

# find /pad/naar/map -iname "*.jpg" | while read i; do jhead $i | egrep -i "File name|camera model|gps|longitude|latitude|geo|keywords" && ln -t /pad/naar/map/resultaten/ -s "$i" "${i##*/}"-$(stat -c %i "$i"); done

Opmerkingen
:

- Het oranje kun je wijzigen naar wens.
- Met ln -t wordt er een link naar de afbeelding gemaakt in de map met de resultaten. In deze map komt er dus een verzameling met links naar de afbeeldingen die getrokken zijn met het aangegeven type camera.
- Voor het tweede script heb je jhead nodig.
   installeren : # sudo apt-get install jhead

Extra :
zet alle gevonden afbeeldingen in een overzichtelijke html-pagina


Eigen tooltje : emailripper_dd
Ik heb weer een klein tooltje gemaakt met zenity. met het progje kan je e-mailbestanden ontleden. Zowel PST-, EML-, en DBX-bestanden kan je hiermee omzetten.
Je hebt wel de volgende pakketten nodig "readpst", "undbx" en "mpack". Als ze nog niet aanwezig zijn op je systeem worden ze geinstalleerd bij het gebruik van het install.sh-bestand.

installatie :
bestand downloaden en uitpakken
Terminal :
# cd /pad/naar/map
# sh install.sh

Het tooltje is ook opgenomen in het pakket fortools_dd

Fred : Forensic Registry EDitor
In het verleden heb ik al eens Yaru voorgesteld, een registry editor voor Linux. Een nieuwe Editor is Fred (Forensic registry EDitor). Met deze editor kan je ook in het Windows Registry surfen. Het is echter ook mogelijk om rapporten op te vragen, zoals gebruikers met nuttige tijdstippen van login en paswoordwijziging, of een rapport over het besturingssysteem.

Installatie :

# sudo apt-get install fred fred-reports

Website :

https://www.pinguin.lu/index.php

Grep en woorden wijzigen
Heb je een hele reeks mappen en submappen met documenten, en moet je bij sommige of alle documenten een bepaald woord vervangen door een ander woord, dan is het onbegonnen werk om alle mappen manueel te doorzoeken, om nadien dan het woord één voor één te vervangen.
Het volgende script kan je hierbij bij helpen : 

grep -rl string1 /pad/naar/map | xargs sed -i 's/string1/string2/g'
Slideshow met impressive
Voor mijn zoon zijn lentefeest, kreeg ik de opdracht van mijn echtgenote om een slideshow te maken. Ik had echter geen goesting om alle foto's  en muziek in een film te laten renderen, en daarom besloot ik om Impressive te gebruiken.

Eerste fase : Foto's zoeken en in volgorde brengen.


Omdat niet alle foto's exif gegevens hadden heb ik een klein scriptje geschreven zodat de datum van ls -lha wordt gebruikt. Zo worden de data gebruikt om de foto's in een tijdslijn te zetten.

#!/bin/bash
for i in *
do
datetime=$(ls -lah ${i} | awk '{print $6}');
realname=$(ls -lah ${i} | awk '{print $8}');
mv $i $datetime-$realname

done


Volgende fases kun je lezen bij "Read more"
Browserhistory_dd : de naam zegt het al
Ik heb een klein tooltje in Zenity gemaakt om de browsergeschiedenis van Chrome, Firefox en Internet Explorer te analyseren. Het tooltje heeft wel sleuthkit, sqlite3, perl, log2timeline en  pasco nodig :

# sudo apt-get install sqlite3 perl log2timeline-perl pasco sleuthkit

Je kunt het tooltje hier downloaden en het is ook opgenomen in fortools

opmerking :
bron voor pakket log2timeline :
# deb http://log2timeline.net/pub/ maverick main

Vanaf nu (26/04/2012) kun je ook de tijdslijn van je systeem analyseren met dit tooltje. Naast de gewone tijdslijn krijg je ook een index van het gebruik per uur van het systeem.
HiDrive met Linux
HiDrive is een gratis dienst waarbij je 5Gb gratis opslag krijgt op hun servers.
Even gratis aanmelden en je kunt bestanden veilig stellen op een server in de Cloud. De servers van HiDrive staan in Duitsland waar ze veel strenger zijn i.v.m. de privacy, in tegenstelling met Dropbox, waarvan de servers in Amerika staan. 
Uiteraard moet je met gratis diensten altijd opletten, omdat gratis diensten hun aanbod durven stoppen zonder enige verwittiging.


Als je een account hebt aangemaakt kun je je bestanden met nautilus benaderen met het volgende commando :

# nautilus dav://gebruikersnaam@webdav.hidrive.strato.com

Nog even het wachtwoord ingeven en starten. Uiteraard kun je met dit commando ook een launcher of een bashscript maken om op een eenvoudige manier toegang te krijgen.

opmerking :
Mounten via terminal van de 5GB Hidrive opslag kan ook.

davfs2 is hiervoor nodig ( # sudo apt-get install davfs2 )

# mount -t davfs https://webdav.hidrive.strato.com /pad/naar/map

Een gebruikersnaam en paswoord zal worden gevraagd.


mpack of munpack (de)coderen van MIME
Voor het bekijken van PST bestanden kun je readPST gebruiken. Meer uitleg hierover vind je in een vorige post.
Heb je andere MIME-bestanden (Multipurpose Internet Mail Extensions) zoals een eml-bestand, dan kan je dit natuurlijk openen in de kladblok zoals gedit of leafpad. Echter de afbeeldingen en bijlagen worden niet weergegeven. Wil je de afbeeldingen en bijlagen uit zo'n bestand dan kan je in terminal het tooltje munpack gebruiken. Munpack dient om het bestand te ontleden/decoderen en met mpack kun je het omgekeerde doen. 

Installeren :
# sudo apt-get install mpack

Gebruik :
# munpack /pad/naar/bestand.eml

Van de afbeeldingen of andere bestanden, zoals pdf-bestanden, worden nieuwe bestanden aangemaakt.
Wijzig standaard Terminal
Als je echt eens een andere terminal wil gebruiken dan kun je je default of standaard terminal veranderen met het volgende commando :

# sudo update-alternatives --config x-terminal-emulator

In het volgende venster kun je met het gepaste cijfer je gewenste terminal aanduiden.