FTimes

FTimes є система базовим рівням та збору доказів інструмент. Основна мета FTimes є збір та / або розробити інформацію про задані каталогів і файлів у формі, що сприяє аналізу вторгнень.
FTimes є легкий інструмент в тому сенсі, що вона не повинні бути "встановлені" в даній системі працювати в цій системі, досить малий, щоб поміститися на одну дискету, і це забезпечує тільки інтерфейс командного рядка.
Збереження запису всієї діяльності, яка відбувається в момент знімка важливо для аналізу вторгнень і доказової прийнятності. З цієї причини, FTimes був розроблений, щоб увійти чотири типи інформації: параметри конфігурації, індикатори прогресу, показники і помилки. Продукція, вироблена по FTimes обмежений текст, і тому легко засвоюється широкого спектру існуючих інструментів.
FTimes в основному реалізує дві основні можливості: файл топографія і рядок пошуку. Топографія Файл процес зіставлення клавіш атрибутів каталогів і файлів на даному файлової системи. Рядок пошуку процес копання каталоги і файли на даній файлової системи при пошуку певної послідовності байтів. Відповідно, ці можливості іменуються режим карти і режим копати.
FTimes підтримує два операційних середовищ: Стільниця і клієнт-сервер. У середовищі робочого місця, оператор використовує FTimes робити такі речі, як вивчати докази (наприклад, образ диска або файли з зламаної системі), аналізувати знімки для зміни, пошук файлів, які мають певні атрибути, перевірки цілісності файлів, і так далі , У клієнт-серверної середовищі, фокус зміщується від чого оператор може зробити локально, як оператор може ефективно контролювати, управляти і узагальнені дані зйомки для багатьох господарів. У клієнт-серверної середовищі, основна мета полягає в переході зібрані дані від хоста до централізованої системи, відомої як цілісність серверів, в безпечній і перевірку автентичності моди. Цілісність Сервер загартованого система, яка була налаштована для обробки FTimes GET, PING, і поставити HTTP / S запитів.
Розподіл FTimes містить сценарій під назвою NPH-ftimes.cgi, які можуть бути використані в поєднанні з веб-сервера, щоб реалізувати загальний інтерфейс цілісності сервера. Більш глибокі теми, такі, як будівництво і внутрішніх механіки Цілісності сервера тут не розглядаються

Особливості :.

• FTimes легко у використанні і швидко! Решта чистий соус ...
• FTimes було написано в C і портована на багатьох популярних операційних систем, таких як AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris, і Windows 98 / ME / NT / 2K / XP. FTimes не вимагають додаткової підтримки виконання таких як інтерпретатора скриптів (наприклад, Perl) або віртуальної машини (наприклад, JVM).
• FTimes не повинні бути встановлені на машині клієнта. У багатьох випадках вона може бути запущена з дискети або CD-ROM. Через це, FTimes може бути налаштований таким чином, що це мінімально інвазивної в цільову систему. Це важливо, коли намагаються зібрати докази про напад на живу систему.
• FTimes має повне протоколювання. Це допомагає підвищити його надійність і прийнятність в якості доказу, тому що інформація журналу може бути використано для визначення відомих або потенційних частоту помилок інструменту в різних умовах. FTimes входить чотири типи інформації: параметри конфігурації, індикатори прогресу, показники і помилки
.
• FTimes виявляє і кодує недруковані символи (наприклад, пробіл, повернення каретки, і т.д.) в іменах файлів. Це гарантує, що ваш погляд на виході не штучно змінені дані, які ви дивіться. Схема кодування URL використовується також допоможе вам швидко сфокусуватися на аномальних файлів.
• FTimes виявляє і обробляє альтернативних потоків даних (ADS) при роботі на Windows NT / 2K систем Windows / XP. Це дуже корисно у випадках, коли злочинець використовуватися альтернативні потоки даних, щоб приховати інструменти та інформацію.

Вихід
• FTimes "обмежений ASCII, і тому, сприяє аналізу. Цей вихід може бути прирівняне за стандартною технологією баз даних, а також широкий спектр існуючих інструментів. Це робить її більш гнучкою, ніж власних схем баз даних, які в основному непрозорим, щоб практикуючого. У кінцевому рахунку, цей формат дає кращі результати аналізу, тому що практикуючий може вільно маніпулювати даними, і колеги можуть самостійно перевірити результати аналізу. Знову ж таки, це сприяє зміцненню його авторитету і допустимість як доказів.
• FTimes можуть бути розгорнуті як корпоративне рішення з усією інформацією, яка передається і зберігається на укріпленої цілісності Server. Це дозволяє для централізованого управління даними, і дозволяє уникнути проблеми залишаючи дані виставляються по клієнта. Дані, що зберігаються на системі клієнта вразливий для шкідливого зміни або знищення.
• FTimes спочатку підтримує клієнт ініціював HTTP / HTTPS додавання / завантаження. Це усуває необхідність граничних пристроїв, таких як брандмауери, щоб мати спеціальні входять правила підключення. Крім того, є хороший шанс, що існуючі граничні пристрої вже підтримують необхідні вихідні зв'язку шлях, бо це ж, як необхідні для перегляду веб-сторінок.
• FTimes забезпечує ефективну можливість пошуку рядка (ака режим копати). Це особливо корисно в дослідженнях, коли практикуючий має профіль ключових слів або байт рядка, які можуть існувати десь на цільовій системі.
• FTimes необов'язково підтримує файл пристрою землерийні машини (блок / символ).

Вихід
• FTimes "налаштовується для кожного атрибута основі. Це дозволяє користувачам розробляти дані таким чином, що найкраще підходить для їх потреб.
• FTimes необов'язково виробляє хеши каталогу. Це є суттєвою перевагою аналіз в тих випадках, коли зміст змінюється рідко. Перевага в тому, що один хеш ефективно представляє собою зміст всіх каталогів і файлів, що містяться в даному дереві.
• FTimes необов'язково виробляє символічних посилань хешів.
• FTimes Опціонально проводиться типів файлів за допомогою XMagic. Коли є сотні або тисячі невідомих хешів, важко визначити, які файли можуть бути змінені в результаті злочинних дій. У таких ситуаціях, інформація про тип може бути використаний для класифікувати файли і пріоритети порядок, в якому вони розглядаються.
• FTimes має надзвичайно швидко, настроюється порівняти можливості. Це дозволяє практикуючому швидко аналізувати знімки і визначити зміни.

Що нового У цьому випуску:

• код був очищений і вишуканий міру необхідності
• Кілька помилок було виправлено.
• Цей реліз включає в себе оновлену підтримку гачків файлів і вводить KL-EL основі XMagic.
• Отже, мінімальна необхідна версія libklel був rasied на 1.1.0 ,, який має бібліотеку версії 2: 0: 1.
• Додана підтримка файлової системи для SquashFS.