Recent File Seeker icon

Recent file seeker

Show menu

Recent File Seeker est un outil gratuit et portable, crée pour rechercher des fichiers en utilisant des filtres spéciaux et exporter les résultats sur un fichier texte. Les résultats sont compatibles avec UVK.

Prise d'écran:
Recent File Seeker icon

Recent File seeker (RFS) a été créé pour rechercher logiciels malveillants, mais vous pouvez l'utiliser pour rechercher tout ce que vous voulez.

Il utilise un modèle de recherche dynamique, qui permet d'entrer plusieurs chaà®nes de recherche à  la fois,et aussi des jokers.

 

Configurer les chaà®nes de recherche

Plusieurs chaà®nes de recherche doivent être séparées par | (barre verticalle). Elles peuvent contenir des jokers (*ou ?).

L'astérisque (*) correspond à  tout caractère zéro ou plusieurs fois. Le ? (point d'interrogation) correspond à  n'importe quel caractère zéro ou une fois.

La recherche n'est pas sensible à  la casse. Exemple:

Pour rechercher des fichiers d'image dont le nom contient «image» au début du nom de fichier, vous pouvez utiliser le modèle suivant:

image*.jpg|image*.png|image*.bmp|image*.gif

Puisque * correspond à  tout caractère zéro ou plusieurs fois, ce modèle correspondrait à  des noms comme Image.jpg ou image12345.gif.

Afin de limiter le même schéma à  seulement 4 caractères après "image" vous pouvez utiliser:

image????.jpg|image????.png|image????.bmp|image????.gif

Si le champ Pattern est vide, aucun filtre ne sera utilisé, de sorte que tous les fichiers créés, modifiés ou consultés (selon l'option que vous utilisez) dans le nombre de jours sélectionné sera écrit dans le rapport.

Une procédure commune à  la recherche de logiciels malveillants est d'utiliser le modèle de recherche par défaut et définir le champ Max file age à  un ou deux jours avant l'infection. RFS va alors rechercher tous les fichiers exécutables, les DLL, les scripts cmd et vbs, et les pilotes modifiés au nombre de jours sélectionné.

 

Choix du chemin du log et de l'option Timestamp base

Les résultats seront exportés vers le fichier présent dans le champ Save results to. Utilisez le bouton Browse..., sur la même ligne pour choisir un autre fichier.

Vous pouvez choisir de rechercher les fichiers / dossiers en fonction de leur date de création, dernier accès ou de dernière modification, en sélectionnant l'option désirée dans le combo Timestamp base.

 

 Ecriture les informations sur le log

Les informations correspondant à  un fichier trouvé feront une nouvelle ligne dans le log. Le format est le suivant:

Mode | Date de modification | Chemin | Attributs | Description | Taille | Hash MD5 | Nom de l'éditeur

Donc, chaque ligne aura plusieurs sections séparées par " | " (espace + barre verticalle + espace).

Les sections mentionnées ci-dessus ne seront pas nécessairement toutes présentes. Cela dépendra des options que vous sélectionnez avant de commencer l'analyse.

Ces sections sont très facilles de comprendre, mais nous allons les expliquer de toute façon:

Mode : (<RecentFiles>) Ce mot-clé est toujours présent. Il est utilisé par UVK comme référence, au cas o๠vous souhaitez supprimer le fichier correspondant à  l'aide d'UVK.

Date de modification: Ce champ est toujours présent. Il peut aussi être la date de création ou de la dernière date d'accès, en fonction de l'option sélectionnée dans la liste déroulante Timestamp base.

Chemin: Chemin complet du fichier correspondant. Ce champ est toujours présent.

Attributs: Les attributs du fichier correspondant. Il s'agit d'une chaà®ne au format "RASHNDOCT". Chaque lettre de la chaà®ne sera présente si les attributs correspondants sont fixés: "R" = READONLY, "A" = ARCHIVE, "S" = SYSTEM, "H" = HIDDEN, "N" = NORMAL, "D" DIRECTORY = , "O" = HORS LIGNE, "C" = COMPRIME (compression NTFS, pas compression ZIP), "T" = TEMPORAIRE.

Ce champ sera présent si Include file attributes est coché.

Description: La description du fichier correspondant. Ce champ sera présent si Include file description est coché.

Taille: La taille du fichier correspondant. Ce champ sera présent si Include file size est coché.

Hash MD5: Le hash MD5 du fichier correspondant. Ce champ sera présent si Include MD5 hash est coché.

Nom de l'éditeur: Le nom de l'étiteur du fichier correspondant. Ce champ sera présent si Include company name est coché.

Si Verify file signature est coché, L'éditeur sera verifié, cequi permettra d'assurer l'autenticité du fichier.

Cochez Include Microsoft files si vous voulez que tous les fichiers trouvé soient exportés. Si cette case n'est pas cochée, les fichiers de Microsoft seront ingorés.

Décochez Recurse si vous ne voulez pas que RFS analyse les sous dossiers. Ceci fera RFS analyser juste les fichiers présents dans le répertoire racine.

Cochez Include folder names si vous voulez que RFS recherche des noms de dossier aussi.

 

Exécution de l'analyse

Vous pouvez choisir le répertoire racine de l'analyse en cliquant sur le bouton Browse, dans la ligne Search path root.

Une fois que toutes les options sont reglées cliquez Start scan, ou appuyez sur la touche Entrée, pour démarrer le scan.

Pattientez pendant que RFS éxécute l'analyse.

Vous pouvez pauser ou arrêter le scan à  tout moment, en cliquant sur le même bouton, qui a été renommé Stop scan.

 

Téléchargement

Cliquez sur le bouton ci-dessous pour télécharger la dernière version du produit:

 

Télécharger Recent file seeker

Version actuelle:

 

Cequi a de nouveau dans cette version

L'a pplication a été complettement recréée en C++. Les versions préédentes avaient été créées en AutoIt.

Ajouté les functions Include file attributes, Include file size, Include MD5 hash, Verify file signatures, et double séparation de lignes dans le log.

Détection automatique de la présence d'une installation d'UVK, permettant d'ouvrir le log avec le Log analyzer si possible.

 

Copyright Carifred © 2010 - 2024, tous droits réservés.

Scroll to top