FTimes е система Референтна и събиране на доказателства инструмент. Основна цел FTimes е да събере и / или разработване на информация за определени директории и файлове по начин, водещ до анализ на проникване.
FTimes е лек инструмент, в смисъл, че не е необходимо да се "монтира" на дадена система да работи по тази система, тя е достатъчно малка, за да се побират на една дискета, и то само предоставя интерфейс на командния ред.
Запазването на записи от всички дейности, което се случва по време на снимките е важно за проникване анализ и доказателства за допустимост. Поради тази причина, FTimes е проектиран да влезете четири вида информация: конфигурационни настройки, показатели за напредъка, показатели и грешки. Изходът, генериран от FTimes е ограничена текст, и следователно, се усвоява лесно от голямо разнообразие на съществуващите инструменти.
FTimes основно изпълнява две основни възможности: топография файл и търсене низ. Топография на файла е процес на ключови картографиране атрибути на директории и файлове в дадена файлова система. String търсене е процес на рови в директории и файлове в дадена файлова система, докато търсите определена последователност от байтове. Всяка една от тези възможности са посочени като карта и режим копаят.
FTimes поддържа две операционни среди: Workbench и клиент-сървър. В Workbench среда, операторът използва FTimes да правят неща като разгледа доказателства (например, на дисково изображение или файлове от една компрометирана система), анализират снимките за промяна, търсене на файлове, които имат специфични характеристики, да проверява целостта на файлове и т.н. , В клиент-сървър среда, фокусът се измества от това, което операторът може да направи на местно ниво за това как операторът може ефикасно наблюдение, управление и обобщените данни за снимка за много домакини. В клиент-сървър среда, основната цел е да се премине събраните данни от хост на централизирана система, известна като Integrity сървъри, в сигурна и заверени модата. Един Integrity сървъри е закален система, която е конфигурирана да се справят FTimes получи, Пинг, и сложи HTTP / S искания.
Разпределението на FTimes със скрипт, наречен NPH-ftimes.cgi, че може да се използва във връзка с Web сървъра за изпълнение на обществената интерфейс Integrity Server. По-дълбоки теми като строителния и вътрешните механизми на една Integrity сървъри не са разгледани тук
<силни> Характеристики :.
- FTimes е лесно за използване и бързо! Останалото е зашеметяващо ...
- FTimes е била изписана в C и се пренасят на много популярни операционни системи, като например AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris и Windows 98 / ME / NT / 2K / XP. FTimes не изисква допълнителна поддръжка по време, като скрипт преводач (например, Perl) или Virtual Machine (например, JVM).
- FTimes не е необходимо да бъде инсталиран на машината на клиента. В много случаи може да се управлява от дискета или CD-ROM. Поради това, FTimes може да бъде конфигуриран така, че е минимално инвазивна на целевата система. Това е важно, когато се опитват да се съберат доказателства за нападение срещу жива система.
- FTimes има задълбочени сеч. Това помага да се увеличи доверието в себе си и допустимост като доказателство, тъй като информацията в дневника може да се използва за определяне на известен или потенциалния темп грешка на инструмента при различни условия. FTimes записва четири вида информация: конфигурационни настройки, показатели за напредъка, показатели и грешки .
- FTimes открива и кодира без видими знаци (например, празно пространство, превоз връща, и т.н.) в имена на файлове. Това гарантира, че мнението Ви за продукцията не е изкуствено променя от данните, които разглеждате. Схемата за URL кодиране използва и помага бързо да се съсредоточи в по аномални имена на файлове.
- FTimes открива и обработва Алтернативни потоци данни (ADS), когато изпълняват на Windows NT / 2K / XP системи. Това е доста полезно в случаите, когато извършителят е използвал Алтернативни потока данни, за да се скрие инструменти и информация.
- FTimes "е ограничена ASCII, и следователно, е благоприятна за анализ. Този изход може да бъде приравнено с помощта на стандартна технология на базата данни, както и широк спектър от съществуващи инструменти. Това го прави по-гъвкави от патентовани схеми на бази данни, които по същество са непрозрачни за практикуващия. В крайна сметка, този формат дава по-добри резултати от анализ, защото лекарят е в състояние да манипулират данните свободно, и колегите могат самостоятелно да проверяват резултатите от анализите. Отново, това помага за укрепване на доверието в себе си и допустимост като доказателство.
- FTimes могат да бъдат разгърнати като разтвор предприятие с цялата информация, която се предава към и запазен на закалени Integrity Server. Това дава възможност за централизирано управление на данните, и избягва проблема за напускане на данни, изложени на система на клиента. Данни, съхранявани на компютъра на клиента е уязвима от зловреден промяна или унищожаване.
- FTimes роден подкрепя клиент инициирани HTTP / HTTPS качване / сваляне. Това елиминира необходимостта от гранични устройства като защитни стени да има специални правила за входяща информация. Освен това, има добър шанс, че съществуващите гранични устройства вече поддържат необходимата изходящи комуникации пътя, защото тя е същата като тази, необходима да търсите в интернет.
- FTimes осигурява ефикасен и търсещи възможности низ (известен още като копаят режим). Това е особено полезно в разследвания, когато практикуващият има профил на ключови думи или байт струни, които е вероятно да съществува някъде на целевата система.
- FTimes евентуално поддържа файлови устройство копаене (блок / характер).
- FTimes "се конфигурира на база атрибут. Това позволява на потребителите да развият данни по начин, който е най-подходящ за техните нужди.
- FTimes евентуално произвежда директория хешове. Това е значителен анализ предимство в ситуации, в които съдържанието рядко промени. Предимството е, че една хеш ефективно представлява съдържанието на всички директории и файлове, съдържащи се в даден дърво.
- FTimes евентуално произвежда символна хешове.
- FTimes избор изпълнява файл пишете чрез XMagic. Когато има стотици или хиляди неизвестни хешове, че е трудно да се определи кои файлове могат да се променят в резултат на злонамерено действие. В тези ситуации, информацията за типа може да се използва за категоризиране на файлове и приоритизиране на реда, в който са разгледани.
- FTimes има изключително бързо, регулиращи се сравни способности. Това дава възможност на практикуващия да бързо да анализира снимките и определяне на климата.
Изход
Изход
Какво ново в тази версия:
- Кодът е почистен и изискан, колкото е необходимо
- Няколко бяха отстранени.
- Тази версия включва актуализирана поддръжка на файловите куки и въвежда KL-EL-базирани XMagic.
- Следователно минималното необходимо версия на libklel е rasied на 1.1.0, който има библиотека версия 2: 0. 1
- беше добавена поддръжка на файловата система за SquashFS.
Коментари не е намерена