FTimes egy olyan rendszer Baselining és a bizonyítékok gyűjtése eszköz. FTimes elsődleges célja, hogy összegyűjtse és / vagy fejleszteni információkat megadott könyvtárak és fájlok tevékenységben oly módon, hogy a behatolás elemzése.
FTimes igen könnyű, abban az értelemben, hogy nem kell "telepíteni" egy adott rendszer működik az adott rendszeren, elég kicsi ahhoz, hogy fér el egy floppy, és az csupán egy parancssori felület.
Megőrzése feljegyzést valamennyi tevékenység során fordul elő snapshot fontos a behatolás elemzése és a bizonyítékok elfogadhatóságát. Emiatt FTimes célja az volt, hogy jelentkezzen négyféle információk: konfigurációs beállításokat, a haladás mutatók, mérőszámok, és a hibákat. Kimenete az FTimes behatárolja a szöveget, és ezért könnyen asszimilálódtak egy sor meglévő eszközöket.
FTimes alapvetően végrehajtja két általános képességek: file domborzati és sztring keresést. Fájl topográfia leképezésének folyamata alapvető tulajdonságok könyvtárak és fájlok egy adott fájlrendszer. Karakterlánc keresési az a folyamat ásni a könyvtárak és a fájlok egy adott fájlrendszer, miközben keresnek egy adott bájtsorozatok. Illetve, ezek a lehetőségek nevezik térkép mód, és dig módban.
FTimes támogatja a két operációs környezetek: munkapad és kliens-szerver. A Workbench környezetben, az üzemeltető FTimes csinálni a dolgokat, mint például megvizsgálni bizonyítékok (pl lemez vagy fájlokat a sérült rendszer), elemzi Pillanatképek a változás, keresni a fájlokat, melyek speciális attribútumokat, ellenőrizze fájl integritását, és így tovább . A kliens-szerver környezetben, a hangsúly eltolódik a mi a gazdálkodó elvégezhet helyileg, hogyan üzemeltetője hatékonyan felügyelni, kezelni, és az összesített adatok snapshot sok házigazdák. A kliens-szerver környezetben, az elsődleges cél az, hogy az összegyűjtött adatokat a fogadó egy központosított rendszer, az úgynevezett Integrity Server, biztonságos és hitelesített módon. Az Integrity Server egy edzett rendszer úgy van beállítva, hogy kezelni FTimes GET, PING, és tedd HTTP / S kéréseket.
A FTimes disztribúció tartalmaz egy script nevű NPH-ftimes.cgi, hogy lehet használni együtt a webszerver, hogy végre egy nyilvános Integrity Server felület. Mélyebb témákról, mint például az építőiparban és a belső mechanika egy Integrity Server Nem foglalkozunk itt.
Tulajdonságok :
- FTimes könnyű használható és gyors! A többi már tiszta pecsenyelével ...
- FTimes már C-ben írt, és átírták számos népszerű operációs rendszer, mint AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris és Windows 98 / ME / NT / 2K / XP. FTimes nem igényel további futásidejű támogatás, mint például a script tolmács (pl Perl), vagy a Virtual Machine (pl JVM).
- FTimes nem kell telepíteni a kliens gépen. Sok esetben lehet futtatni a floppy vagy CD-ROM. Emiatt, FTimes is konfigurálható úgy, hogy minimálisan invazív, hogy a cél-rendszer. Ez azért fontos, amikor megpróbálják bizonyítékokat gyűjtsön a támadás egy élő rendszer.
- FTimes van alapos naplózás. Ez segít növelni a hitelességét, és bizonyítékként való elfogadhatóságát, mert a napló információ meghatározásához használt ismert vagy potenciális hibaarány az eszköz különböző körülmények között. FTimes naplózza négyféle információk: konfigurációs beállításokat, a haladás mutatók, mérőszámok, és a hibákat.
- FTimes felismeri és kódolja a nem nyomtatható karaktereknek (pl white space, kocsi vissza, stb) a fájlneveket. Ez biztosítja, hogy a véleménye a kimenet nem mesterségesen változtat az adatokat, amit keres. Az URL kódolást is segít, hogy gyorsan koncentrálni a rendellenes fájlneveket.
- FTimes érzékeli és feldolgozza Alternate Data Streams (ADS), amikor fut a Windows NT / 2K / XP rendszereket. Ez nagyon hasznos olyan esetekben, amikor az elkövető használt Alternate Data Streams elrejteni eszközöket és információkat.
- FTimes "kimenet elválasztott ASCII, és ezért elősegíti az elemzés. Ez a kimenet sorolható szabványos adatbázis-technológia, valamint a legkülönbözőbb meglévő eszközökkel. Ez teszi rugalmasabb, mint a saját adatbázis rendszerek, amelyek alapvetően világos a szakember. Végső soron ez a formátum javítható elemzési eredmények, mert a szakember képes manipulálni az adatokat szabadon, és társaik önállóan ellenőrzi az elemzés eredményeit. Ismétlem, ez segít erősíteni a hitelességét, és bizonyítékként való elfogadhatóságát.
- FTimes is lehet telepíteni olyan vállalati megoldást minden információt továbbítanak és megőrzött az edzett Integrity Server. Ez lehetővé teszi a központosított adatkezelést, és elkerüli a problémát, így az adatok kitéve a kliens rendszer. Tárolt adatok egy ügyfél rendszer ki van téve a rosszindulatú módosítás vagy megsemmisítés.
- FTimes natívan támogatja a kliens kezdeményezett HTTP / HTTPS feltöltések / letöltések. Ez szükségtelenné teszi a határvonal eszközök, mint például a tűzfalak, hogy egy speciális bejövő kapcsolat szabályai. Továbbá, van egy jó esély arra, hogy a meglévő határt eszközök már támogatják a szükséges kimenő kommunikációt útvonalat, mert ez ugyanaz, mint amit meg kellett böngészhet a weben.
- FTimes nyújt hatékony karakterlánc keresési lehetőséggel (aka ásni mód). Ez különösen hasznos a nyomozás során az orvos egy profilt kulcsszavak vagy byte húrok, amelyek valószínűleg létezik valahol a cél rendszeren.
- FTimes opcionálisan támogatja device file ásni (block / karakter).
- FTimes "kimenet konfigurálható az egy főre attribútum alapján. Ez lehetővé teszi a felhasználók számára, hogy adatokat oly módon, hogy ez leginkább megfelel az igényeiknek.
- FTimes adott elő könyvtár hash-eket. Ez jelentős előny elemzés olyan helyzetekben, ahol a tartalmat ritkán változik. Ennek előnye, hogy egy hash hatékonyan képviseli a tartalmat összes könyvtár és fájl tartalmazza egy adott fa.
- FTimes adott elő symlink hash.
- FTimes Opcionálisan fájl gépelési keresztül XMagic. Amikor több száz vagy több ezer ismeretlen hash, nehéz meghatározni, hogy melyik fájlok változtak eredményeként a rosszindulatú cselekmény. Ezekben a helyzetekben típusú információ lehet kategorizálni fájlokat és rangsorolni, hogy milyen sorrendben megvizsgálják őket.
- FTimes rendkívül gyors, hangolható összehasonlítani képesség. Ez lehetővé teszi, hogy az orvos, hogy gyorsan elemezni pillanatfelvételek és meghatározzák a változás.
Mi az új ebben a kiadásban:
- A kód megtisztították és kifinomult szükség.
- Több hiba javítva lett.
- Ez a kiadás tartalmazza a frissített támogatása fájl horgok és bevezeti KL-EL-alapú XMagic.
- A minimális szükséges verzióját libklel már rasied a 1.1.0, amely a könyvtár változata 2: 0: 1.
- A fájlrendszer támogatása SquashFS adtunk.
Hozzászólás nem található