FTimes è uno strumento baselining sistema e raccolta delle prove. Scopo primario di FTimes è quello di raccogliere e / o sviluppare informazioni sulle directory ei file specificati, in modo da favorire il analisi intrusione.
FTimes è uno strumento leggero, nel senso che non ha bisogno di essere "installato" a un dato sistema di lavorare su quel sistema, è abbastanza piccolo da stare in un singolo floppy, e fornisce solo CLI.
Preservare i record di tutte le attività che si verifica durante uno snapshot è importante per l'analisi delle intrusioni e le prove di ammissibilità. Per questo motivo, FTimes è stato progettato per collegarsi quattro tipi di informazioni: le impostazioni di configurazione, indicatori di avanzamento, le metriche e gli errori. Output prodotto da FTimes è delimitato testo, e quindi, è facilmente assimilabile da un'ampia varietà di strumenti esistenti.
FTimes implementa fondamentalmente due funzioni generali: topografia di file e di ricerca della stringa. Topografia file è il processo di attributi chiave di mappatura delle directory e file su un determinato file system. Ricerca String è il processo di scavare nelle directory e file su un determinato file system, mentre cerca di una specifica sequenza di byte. Rispettivamente, queste capacità sono indicati come mappa modalità e la modalità di scavo.
FTimes supporta due ambienti operativi: Workbench e client-server. Nell'ambiente workbench, l'operatore utilizza FTimes a fare cose come esaminare le prove (ad esempio, un'immagine disco o file da un sistema compromesso), analizzano snapshot per il cambiamento, la ricerca di file con attributi specifici, verificare l'integrità dei file, e così via . Nell'ambiente client-server, l'attenzione si sposta da ciò che l'operatore può fare a livello locale per quanto l'operatore può efficacemente monitorare, gestire e dati snapshot aggregati per molti ospiti. Nell'ambiente client-server, l'obiettivo primario è quello di spostare i dati raccolti dall'host di un sistema centralizzato, noto come Integrity Server, in modo sicuro e autenticato. Un Integrity Server è un sistema indurito che è stato configurato per gestire FTimes GET, PING, e PUT HTTP / S richieste.
La distribuzione FTimes contiene uno script chiamato NPH-ftimes.cgi che può essere utilizzato in combinazione con un server Web per implementare un'interfaccia pubblica Integrity Server. Temi profondi come la costruzione e interni meccanica di un Integrity Server non vengono affrontati qui
Caratteristiche :.
- FTimes è facile da usare e veloce! Il resto è sugo puro ...
- FTimes è stato scritto in C e portato su molti sistemi operativi popolari come AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris e Windows 98 / ME / NT / 2K / XP. FTimes non richiede il supporto runtime aggiuntivo, come un interprete di script (ad esempio, Perl) o una macchina virtuale (ad esempio, JVM).
- FTimes non ha bisogno di essere installato sul computer del cliente. In molti casi può essere eseguito da un floppy o CD-ROM. A causa di questo, FTimes possono essere configurati in modo che sia minimamente invasivo per il sistema di destinazione. Questo è importante quando si cerca di raccogliere le prove di un attacco a un sistema live.
- FTimes ha logging approfondita. Questo aiuta ad aumentare la sua credibilità e inammissibile come prova perché le informazioni registro può essere utilizzato per determinare il potenziale di nota o tasso di errore dello strumento in varie condizioni. FTimes registra quattro tipi di informazioni: le impostazioni di configurazione, indicatori di avanzamento, le metriche e gli errori .
- FTimes rileva e codifica caratteri non stampabili (ad esempio, lo spazio bianco, ritorni a capo, etc.) nei nomi dei file. Questo garantisce che il panorama della produzione non viene alterata artificialmente dai dati si sta guardando. Lo schema di codifica URL utilizzato anche aiuta a concentrarsi rapidamente in su nomi anomali.
- FTimes rileva e processi Alternate Data Streams (ADS), quando in esecuzione su sistemi Windows 2K / NT / XP. Questo è molto utile nei casi in cui l'autore ha usato Alternate Data Streams per nascondere strumenti e informazioni.
- FTimes 'è delimitato ASCII, e quindi, è favorevole ad analisi. Questa uscita può essere assimilato utilizzando la tecnologia di database standard così come una vasta gamma di strumenti esistenti. Questo rende più flessibili rispetto ai sistemi di database proprietari che sono essenzialmente opaco per il praticante. In definitiva, questo formato produce migliori risultati di analisi, perché il professionista è in grado di manipolare i dati liberamente e coetanei può verificare in modo indipendente i risultati delle analisi. Ancora una volta, questo aiuta a rafforzare la sua credibilità e l'ammissibilità come prova.
- FTimes possono essere distribuiti come una soluzione aziendale con tutte le informazioni che vengono trasmesse a, e conservato in un indurito Integrity Server. Questo consente la gestione centralizzata dei dati, ed evita il problema di lasciare i dati esposti nel sistema di un cliente. I dati memorizzati sul sistema di un client è vulnerabile a modifiche dannoso o distruzione.
- FTimes nativamente supporta client iniziato HTTP / HTTPS uploads / downloads. Questo elimina la necessità di dispositivi di confine, come i firewall di avere una speciale modalità di connessione in entrata. Inoltre, c'è una buona probabilità che i dispositivi di confine esistenti supportano già il percorso di comunicazione in uscita necessaria, perché è lo stesso di quello necessario per navigare sul Web.
- FTimes fornisce un efficiente capacità di ricerca della stringa (aka modalità scavare). Ciò è particolarmente utile nelle indagini quando il praticante ha un profilo di parole chiave o stringhe di byte che possono esistere da qualche parte sul sistema di destinazione.
- FTimes supporta opzionalmente file del dispositivo di scavo (blocco / carattere).
- FTimes "è configurabile in base al attributo. Questo permette agli utenti di sviluppare i dati in un modo che è più adatto alle loro esigenze.
- FTimes produce opzionalmente hash di directory. Questo è un notevole vantaggio analisi in situazioni in cui il contenuto cambia raramente. Il vantaggio è che un hash rappresenta efficacemente il contenuto di tutte le directory ei file contenuti in un determinato albero.
- FTimes produce opzionalmente hash link simbolici.
- FTimes esegue opzionalmente file di digitazione via XMagic. Quando ci sono centinaia o migliaia di hash sconosciuti, è difficile determinare quali file sono stati modificati a seguito di un atto doloso. In queste situazioni, le informazioni sul tipo può essere usato per categorizzare i file e dare priorità l'ordine in cui vengono esaminati.
- FTimes ha una estremamente veloce, sintonizzabile confrontare capacità. Questo permette al praticante di analizzare rapidamente istantanee e determinare il cambiamento.
Uscita
Uscita
Cosa c'è di nuovo in questa versione:
- Il codice è stato ripulito e raffinato, se necessario
- numerosi bug sono stati corretti.
- Questa versione include supporto aggiornato per i ganci di file e introduce KL-EL-basato XMagic.
- conseguenza, la versione minima richiesta di libklel è rasied al 1.1.0, che ha una versione di libreria di 2: 0:. 1
- è stato aggiunto il supporto per il file system SquashFS.
I commenti non trovato