Crear informes y listas definidos personalizados con IsoBuster

Hay 2 formas de crear listas personalizadas. Por medio de línea de comando y por medio del GUI. Ambos han estado presente desde hace tiempo pero los comandos y etiquetas han sido determinados potencialmente en IsoBuster 4.1. Actualmente la variante de GUI no ha sido de conocimiento público y solamente era un subset de lo que es ahora

Listas personalizadas / informes mediante la línea de comando

Como se ha explicado, esta funcionalidad esencial ha estado disponible desde hace tiempo y la sección del archivo de ayuda sobre este tópico lo explica perfectamente. Por supuesto, los comandos y etiquetas disponibles son ahora una multitud de lo que fueron antes de IsoBuster 4.1. Así que compruébelo en la sección del archivo de ayuda sobre construir listas mediante línea de comandos para iniciar.

Listas personalizadas / informes mediante el GUI

Esta opción requiere una mayor explicación. Está basada en una cadena única por cada informe que es almacenada en el registro. Usted puede almacenar hasta 10 cadenas de informes en el registro. IsoBuster, al inicio, usará esas cadenas para construir los menús emergentes mediante el botón derecho del ratón que es usado para exportar listas. Las cadenas son idénticas a las cadenas que usaría en una línea de comandos. Así que nuevamente, para todas las etiquetas y comandos, por favor compruébelo en la sección del archivo de ayuda que explica todas las etiquetas y comandos para iniciar.

Sin embargo, hay unos pocos comandos que solamente tienen sentido para la implementación en el GUI. Esos comandos están listados aquí:

  • {'Title'}    Si se usa, debe ser la primera etiqueta de la línea, o de lo contrario será ignorado. Puede contener cualquier texto entre comillas sencillas (')
  • {%DEFAULT}   Esta etiqueta se usa para hacer un informe/lista predeterminado (en negrita y ejecutado cuando al objeto emparentado se le realiza doble clic)
  • {%CHECKED}   Esta etiqueta se usa si usted desea presentar una marca de validación junto al título
  • (%INVISIBLE} Esta etiqueta se usa para ocultar un informe por completo. No tiene mucho sentido usar esta opción para informes personalizados pero si que tiene sentido cuando usted sobrecarga o reemplaza informes anidados existentes

Para incluir sus propios informes en el GUI, cree un archivo de texto sencillo y añada cadenas "CustomFileList1" hasta "CustomFileList10" con sus cadenas propias en la clave "[HKEY_CURRENT_USER\Software\Smart Projects\IsoBuster]" (vea el ejemplo de abajo para el texto que se requiere para este trabajo). Renombre el archivo de texto como algo parecido a something.reg. Haga doble clic sobre el archivo .reg y permita a RegEdit de Windows realizar los cambios en el Registro. Inicie IsoBuster y vea la nueva funcionalidad.

He aquí un ejemplo de funcionamiento que usted puede copiar y pegar a un archivo de texto, y usar como base para su propio proyecto (O descargue el archivo de registro de ejemplo aquí):

REGEDIT4

[HKEY_CURRENT_USER\Software\Smart Projects\IsoBuster]

"CustomFileList1"="{'XML (IsoBuster 4.1 version)'}{%UTF8}{%XML}{%GMT}{%STREAMS}<%XMLHEADER><%BR><xml><%BR><Creator><%BR> <Application><%APP></Application><%BR> <Version><%VERSION></Version><%BR> <Operator><%USER></Operator><%BR> <OS><%OS></OS><%BR> <Start_Time_Date><%SYSTIMEDATE></Start_Time_Date><!--GMT--><%BR></Creator><%BR><%BR><Source><%BR> <Target_Name><%NAME></Target_Name><%BR> <Target_Type><%TYPE></Target_Type><%BR> <Target_Time_Date><%TIMEDATE></Target_Time_Date><!--GMT--><%BR> <Partition_LBA><%PARTITIONLBA></Partition_LBA><!--Session in case of optical--><%BR> <Partition_Blocks_Cnt><%PARTITIONBLOCKS></Partition_Blocks_Cnt><!--Session in case of optical--><%BR> <Media_Blocks_Cnt><%DEVICEBLOCKS></Media_Blocks_Cnt><!--Entire Device or inserted Media--><%BR> <Device><%DEVICE></Device><%BR> <Block_Size><%DEVICEBLOCKSIZE></Block_Size><!--Bytes--><%BR> <ImageFile><%DEVICEPATH></ImageFile><!--If working from imagefile--><%BR> <ImageFile_Size><%DEVICEFILESIZE></ImageFile_Size><!--Bytes--><!--If working from imagefile--><%BR></Source>{%HEADER}{%FILE}<%BR><Object Name='<%NAME>'><!--File--><%BR> <Path><%RELPATH></Path><%BR> <Size><%BYTES></Size><!--Bytes--><%BR> <Total_Size><%TOTBYTES></Total_Size><!--Bytes -Includes Streams (and/or Resource Fork) size (if present)--><%BR> <Time_Date><%TIMEDATE></Time_Date><!--GMT--><%BR> <UID><%UID></UID><%BR> <Type><%TYPE></Type><%BR> <Creator><%CREATOR></Creator><!--Relevant if MAC File System--><%BR> <Streams Streams='<%STREAMS>'><%STREAMLOOP> </Streams><%BR> <Extents Extents='<%EXTENTS>'><%EXTENTLOOP> </Extents><%BR></Object>{%STREAM}<%BR><Object Name='<%NAME>'><!--Stream and/or Resource Fork--><%BR> <Path><%RELPATH></Path><%BR> <Size><%BYTES></Size><!--Bytes--><%BR> <Time_Date><%TIMEDATE></Time_Date><!--GMT--><%BR> <UID><%UID></UID><%BR> <Type><%TYPE></Type><%BR> <Extents Extents='<%EXTENTS>'><%EXTENTLOOP> </Extents><%BR></Object>{%EXTENT} <Extent Name='<%NAME>' Index='<%INDEX>'><%BR> <LBA><%LBA></LBA><%BR> <Last_LBA><%LASTLBA></Last_LBA><%BR> <Size><%BYTES></Size><!--Bytes--><%BR> <Offset_In_Block><%OFFSET></Offset_In_Block><%BR> <Blocks_Cnt><%BLOCKS></Blocks_Cnt><%BR> <Bad_Blocks_Cnt><%BADBLOCKS></Bad_Blocks_Cnt><%BR> </Extent>{%STREAMLOOP} <Stream Name='<%NAME>' Index='<%INDEX>'/>{%FOLDER}<%BR><Object Name='<%NAME>'><!--Folder--><%BR> <Path><%RELPATH></Path><%BR> <Size><%BYTES></Size><!--Bytes--><%BR> <Time_Date><%TIMEDATE></Time_Date><!--GMT--><%BR> <UID><%UID></UID><%BR> <Type><%TYPE></Type><%BR> <Streams Streams='<%STREAMS>'><%STREAMLOOP> </Streams><%BR> <Extents Extents='<%EXTENTS>'><%EXTENTLOOP> </Extents><%BR></Object>{%FOOTER}<%BR><Stats><%BR> <Objects><%CNT></Objects><%BR> <End_Time_Date><%SYSTIMEDATE></End_Time_Date><!--GMT--><%BR> <Elapsed_Time><%SYSTIMELAPSED></Elapsed_Time><%BR> <Elapsed_Time_Sec><%SYSTIMELAPSEDSEC></Elapsed_Time_Sec><%BR> <Elapsed_Time_NanoSec><%SYSTIMELAPSEDNANOSEC></Elapsed_Time_NanoSec><%BR></Stats><%BR><%BR></xml><%BR><!-- For more information: https://www.isobuster.com/reports -->"

"CustomFileList2"="{'DFXML (IsoBuster 4.1 version)'}{%UTF8}{%XML}{%GMT}{%FOLDERS}{%STREAMS}<%XMLHEADER><%BR><dfxml xmlns='http://www.forensicswiki.org/wiki/Category:Digital_Forensics_XML'<%BR> xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance'<%BR> xmlns:dc='http://purl.org/dc/elements/1.1/'<%BR> xmlns:hfs='http://www.forensicswiki.org/wiki/HFS' version='1.0'><%BR><%BR> <metadata><%BR> <dc:type><%DEVICETYPE></dc:type><%BR> </metadata><%BR><%BR> <creator><%BR> <program><%APP></program><%BR> <version><%VERSION></version><%BR> <execution_environment><%BR> <start_time><%SYSTIMEDATE></start_time><!--GMT--><%BR> <os_version><%OS></os_version><%BR> <username><%USER></username><%BR> </execution_environment><%BR> </creator><%BR><%BR> <source><%BR> <device_model><%DEVICE></device_model><%BR> <image_filename><%DEVICEPATH></image_filename><%BR> <image_size><%DEVICEFILESIZE></image_size><%BR> <sectorsize><%DEVICEBLOCKSIZE></sectorsize><%BR> <devicesectors coding='base10'><%DEVICEBLOCKS></devicesectors><%BR> </source><%BR><%BR> <volume><%BR> <ftype_str><%TYPE></ftype_str><%BR> <partition_offset><%PARTITIONLBABYTESOFFSET></partition_offset>{%HEADER}{%FOLDER}<%BR> <fileobject><%BR> <filename><%RELPATH></filename><%BR> <name_type>d</name_type><%BR> <filesize><%BYTES></filesize><%BR> <alloc>1</alloc><%BR> <inode><%UID></inode><%BR> <mtime><%TIMEDATE></mtime><!--GMT--><%BR> <byte_runs><%EXTENTLOOP> </byte_runs><%BR> </fileobject>{%FILE}<%BR> <fileobject><%BR> <filename><%RELPATH></filename><%BR> <name_type>r</name_type><%BR> <filesize><%BYTES></filesize><%BR> <alloc>1</alloc><%BR> <inode><%UID></inode><%BR> <mtime><%TIMEDATE></mtime><!--GMT--><%BR> <hfs:HFStype_creator><%TYPE>/<%CREATOR></hfs:HFStype_creator><!--Only relevant if MAC File System--><%BR> <byte_runs><%EXTENTLOOP> </byte_runs><%BR> </fileobject>{%STREAM}<%BR> <fileobject><!--Stream or Resource Fork--><%BR> <filename><%RELPATH></filename><%BR> <name_type>-</name_type><%BR> <filesize><%BYTES></filesize><%BR> <alloc>1</alloc><%BR> <inode><%UID></inode><%BR> <mtime><%TIMEDATE></mtime><!--GMT--><%BR> <byte_runs><%EXTENTLOOP> </byte_runs><%BR> </fileobject>{%EXTENT} <byte_run img_offset='<%LBABYTEOFFSET>' len='<%BYTES>' />{%FOOTER} </volume><%BR><%BR> <runstats><%BR> <stop_time><%SYSTIMEDATE></stop_time><!--GMT--><%BR> <clock_seconds><%SYSTIMELAPSEDSEC></clock_seconds><%BR> </runstats><%BR><%BR></dfxml><%BR><!-- For more information: https://www.isobuster.com/reports -->"

"CustomFileList3"="{'-'}"

"CustomFileList4"="{'LBA+TIME+DATE+SIZE+PATH (Old style IsoBuster < 4.1 report)'}<%LBA> , <%TIMEDATE> , <%SIZE> , <%FULLPATH>"

Si usted usa este ejemplo, verá las opciones resaltadas añadidad al GUI (asegúrese de reiniciar IsoBuster después de haber añadido las cadenas)

Informes Personalizados con IsoBuster

Clic para ampliar

Sobrecargar las listas / informes existentes mediante GUI

Por último, usted puede usar la funcionalidad completa de informes personalizados para sobrecargar o incluso reemplazar la funcionalidad anidada existente. En otras palabras, usted mejora o reemplaza los informes existentes en IsoBuster con el suyo propio.

Para hacerlo, use las cadenas de claves del registro EmdeddedFileList como si usara las CustomFileList cadenas de claves del Registro. Todo lo demás es igual. Usted puede reemplazar la funcionalidad completa con la suya propia o añadir la funcionalidad que requiera. Para añadir, y no reemplazar, use la etiqueta <%EMBEDDED> en su nueva cadena. <%EMBEDDED> será reemplazada por la cadena original proporcionada por el programa. Si usted no proporciona un Title, el título almacenado del programa se seguirá usando. Esto último es particularmente muy útil cuando usted reemplaza la funcionalidad por completo.

Unos pocos ejemplos:

Ejemplo 1: La funcionalidad permanece sin ser cambiada, pero los archivos se guardan con la codificación UTF8 en lugar de la codificación UTF16 (que es la predefinida)

Ejemplo 2: La funcionalidad permanece sin ser cambiada, pero este tipo de listado es el predefinido ahora (y comprobado también, por supuesto)

Ejemplo 3: La funcionalidad permanece sin ser cambiada, pero existe un pie al final de la lista indicando la versión de IsoBuster que se ha usado

Ejemplo 4: La funcionalidad es enteramente nueva, con un nuevo nombre etc.

Ejemplo 5: Esta lista es eliminada completamente

REGEDIT4

[HKEY_CURRENT_USER\Software\Smart Projects\IsoBuster]

"EmdeddedFileList1"="{%UTF8}<%EMBEDDED>"

"EmdeddedFileList2"="{%DEFAULT}{%CHECKED}<%EMBEDDED>"

"EmdeddedFileList3"="<%EMBEDDED>{%FOOTER}<%BR>Created with <%APP> <%VERS>"

"EmdeddedFileList4"="{'My new list'}{%UTF8}{%GMT}{%STREAMS}<%LBA>;<%NAME>;<%TOTSIZE>;<%TIME>"

"EmdeddedFileList5"="<%INVISIBLE>"