描述：

扫描磁盘映像中的正则表达式和其他内容

bulk_extractor扫描磁盘映像(或任何其他文件)，查找大量预定义的正则表达式和其他类型的内容。这些项称为特性。当它找到一个特性时，bulk_extractor将输出写到输出文件中。输出文件的每一行都包含发现特性所在的字节偏移量、制表符和实际特性。因此，功能部件不能包含行尾字符。

bulk_extractor包括对EnCase（.E01）和AFFLIB（.aff）文件的本机支持，如果它在包含这些库的系统上进行编译和链接的话。另外，-R选项可用于递归扫描和处理单个文件的目录（此类目录中的磁盘映像将被视为文件，而不是磁盘映像）。

bulk_extractor是多线程的。通过指定-j选项，可以运行程序的多个副本。每个线程都将结果写入到自己的特性文件中。当所有的辅助线程完成时，主线程将这些文件合并起来。

bulk_extractor是一个两阶段的程序。在第一阶段，特征被提取。在第二阶段，创建相关特征的直方图。

bulk_extractor还将创建一个包含在磁盘映像中找到的所有单词的单词列表。这可以用作破解加密的字典。

选项：

-o outdir

指定输出目录，必要时bulk_extractor将创建该目录。如果输出目录包含来自部分bulk_extractor运行的数据，bulk_extractor将尝试从上次停止运行的位置继续。

-bbannerfile.txt

读取bannerfile.txt的内容，并在每个输出文件的开头标记它。如果您有某种需要在所有文件顶部盖章的隐私标语，这可能会很有用。

-ralert_list.txt

指定一个警告列表(或红色列表)，这是一个术语列表，如果找到这些术语，将在以字母alert开头的特殊警告文件中进行特别标记。警告列表可能包含单个术语，这些术语必须在它们的实体中找到，并且区分大小写，或者使用标准Unix通配符(例如*@company.com)。Globbed术语是不区分大小写的。

-wstop_list.txt

指定停止列表(或白列表)，这是一个术语列表，如果找到，将放在一个特殊的停止文件中(而不是主文件中)。白名单也可能包含全局术语。

-sfrac[:passes]

指定随机采样参数。

-ppath/format

打开磁盘映像并打印在path找到的信息。格式规范对于原始输出可能是r，对于十六进制输出可能是h。

指定-p-用于交互模式。

将-p -http指定为HTTP模式。

-F<rfile>

指定要用作搜索项的正则表达式文件。

-f<regex>

指定用作搜索项的正则表达式。

-q nn

静音模式。仅打印每nn个状态报告。

指定-1为无状态。

-Wn1:n2

scan_wordlist扫描程序应该只提取长度在n1到n2字符之间的单词。

调试：

这些命令对于调优操作很有用:

-C NN

指定上下文窗口的大小。

-Sfr:<name>:window=NN

为记录器<name>到NN指定上下文窗口。

-Sfr:<name>:window_before=NN

为记录器<name>指定上下文窗口后给NN

-Sfr:<name>:window_after=NN

为记录器<name>在NN之前指定上下文窗口

-G NN

指定页面大小

-g NN

以字节为单位指定边距的大小。

-j NN

使用n个线程进行分析。通常不需要指定此值，因为默认值是当前计算机上的处理器数量。

-m NN

在读取所有数据后，让bulk_extractor最多等待NN分钟，以便扫描完成。

调试排除故障：

下面的命令对调试很有用:

-V

打印版本号

-R outdir

从停在特定目录的位置重新启动程序。

-B nn

将dedup Bloom过滤器设置为nn位。由scan_wordlist扫描程序使用。

-M nn

指定最大递归深度为nn。

-z pagenum

从页码开始

-Y<o1>[-<o2>]

从输入偏移量o1开始，可选地从偏移量o2结束

-dN

启用调试级别N。

扫描仪控制:

最后，您可以使用以下选项控制扫描程序：

-P<dir>

指定要在其中查找插件的目录。

-E scanner

关闭所有扫描程序，然后启用扫描程序。

-e scanner

启用扫描程序。

-x scanner

关闭扫描程序