FTimes

FTimes je systém baselining a shromažďování důkazů nástroje. FTimes primárním cílem je shromažďovat a / nebo rozvíjet informace o zadaných adresářů a souborů, a to způsobem, přispívající k analýze narušení.
FTimes je lehký nástroj v tom smyslu, že to není nutné, aby byl "nainstalováno" na daném systému pracovat na tomto systému, je dost malý na to, aby se vešly na jednu disketu, a to poskytuje pouze rozhraní příkazové řádky.
Zachování záznamy o všech aktivitách, ke které dochází v průběhu snímku je důležité pro analýzu průniků a důkazů přípustnosti. Z tohoto důvodu, FTimes byl navržen tak, aby přihlášení čtyři typy informací: nastavení konfigurace, ukazatele pokroku, metriky, a chyby. Výstup produkovaný FTimes je ohraničena textu, a proto je snadno přizpůsobil širokou škálu stávajících nástrojů.
FTimes v podstatě implementuje dvě obecné možnosti: soubor topografie a řetězec vyhledávání. Soubor topografie je proces atributů mapování hlavních adresářů a souborů na daném souborovém systému. Řetězec vyhledávání je proces kopání do adresáře a soubory na daném systému souborů při pohledu na specifické sekvence bytů. Respektive, jsou tyto schopnosti jsou označovány jako mapy režimu a režimu dig.
FTimes podporuje dva operační prostředí: Workbench a klient-server. V programu Workbench prostředí, provozovatel používá FTimes dělat věci, jako je přezkoumat důkazy (např obraz disku nebo soubory z napadeného systému), analyzovat snímky pro změnu, vyhledávání souborů, které mají specifické vlastnosti, ověřit integritu souboru, a tak dále , V prostředí klient-server, fokus přesouvá z čeho operátor může udělat na místě o tom, jak může operátor efektivně sledovat, řídit a souhrnné údaje snímek pro mnoho hostitelů. V prostředí klient-server, hlavním cílem je přesunout shromážděné údaje z počítače do centralizovaného systému, známý jako servery Integrity, v bezpečné a ověřeným způsobem. Integrity Server je tvrzené systém, který byl nakonfigurován tak, aby zvládnout FTimes GET, ping, a PUT HTTP / S požadavky.
Distribuce FTimes obsahuje skript s názvem NPH-ftimes.cgi, které mohou být použity ve spojení s webovým serverem pro provádění veřejné rozhraní integrity serveru. Hlubší témata, jako jsou stavební a vnitřní mechaniky integritu serveru zde nejsou řešeny

Vlastnosti :.

• FTimes je snadné k použití a rychle! Zbytek je čistá šťáva ...
• FTimes byl napsán v C a portován na mnoha populárních operačních systémů, jako je AIX, BSDI, FreeBSD, HP-UX, Linux, Solaris a Windows 98 / ME / NT / 2K / XP. FTimes nevyžaduje dodatečnou podporu při běhu, jako interpret skriptů (např, Perl) nebo Virtual Machine (např JVM).
• FTimes není třeba instalovat na počítači klienta. V mnoha případech může být spuštěn z diskety nebo CD-ROMu. Z tohoto důvodu, FTimes může být konfigurován tak, že je minimálně invazivní k cílovému systému. To je důležité, když se snaží shromáždit důkazy o útoku na živý systém.
• FTimes má důkladné protokolování. To přispívá ke zvýšení jeho důvěryhodnosti a jako důkazy, protože informace o protokolu mohou být použity k určení známé nebo možné chybovost nástroje za různých podmínek. FTimes přihlásí čtyři druhy informací: nastavení konfigurace, ukazatele pokroku, metriky, a chyby
.
• FTimes detekuje a kóduje netisknutelné znaky (např prázdného místa, konce řádků, atd), v názvech souborů. Tím je zajištěno, že váš pohled na výstupu není uměle změněna daty, která se při pohledu na. Schéma kódování URL použít i vám pomůže rychle zaměřit se na neobvyklých názvy souborů.
• FTimes detekuje a zpracovává alternativní datové proudy (ADS) při běhu na / 2k systémech Windows NT / XP. To je velmi užitečné v případech, kdy pachatel použil alternativní datové proudy skrýt nástroje a informace.

Výstup
• FTimes "je vymezen ASCII, a proto je vede k analýze. Tento výstup může být přirovnán za použití standardní databázové technologie, stejně jako širokou škálu stávajících nástrojů. Díky tomu je mnohem pružnější než proprietární databáze režimů, které jsou v podstatě neprůhledné na lékaře. Nakonec, tento formát přináší lepší výsledky, analýzy, protože odborník je schopen manipulovat s daty svobodně, a vrstevníci mohou nezávisle ověřit výsledky analýzy. Opět platí, že to pomůže posílit svoji důvěryhodnost a jako důkazy.
• FTimes může být nasazen jako podnikové řešení veškeré informace, které jsou předávány a zachována na kalené Integrity Server. To umožňuje centralizovanou správu dat, a vyhýbá problému odchodu údajů vystavené v systému klienta. Data uložená v systému klienta je zranitelný vůči škodlivým změně nebo zničení.
• FTimes nativně podporuje klient zahájil HTTP / HTTPS nahrání / stažení. To eliminuje potřebu okrajových zařízení, jako jsou firewally mít zvláštní příchozí pravidla připojení. Kromě toho, je tu dobrá šance, že stávající hranice zařízení již podporují požadovanou odchozí komunikace cestu, protože to je stejné jako potřebné pro prohlížení webových stránek.
• FTimes poskytuje efektivní schopnost string vyhledávání (aka režim kopat). To je užitečné zejména v šetření, kdy lékař má profil klíčových slov nebo bytového řetězce, které by mohly existovat někde v cílovém systému.
• FTimes volitelně podporuje soubor zařízení, kopání (blok / znak).

Výstup
• FTimes "je konfigurovatelná na jeden atribut bázi. To umožňuje uživatelům vytvářet data způsobem, který je nejlépe vyhovuje jejich potřebám.
• FTimes případně vytváří adresáře hashe. To je významná výhoda analýza v situacích, kdy obsah zřídka mění. Výhodou je, že jeden hash účinně představuje obsah všech adresářů a souborů obsažených v daném stromu.
• FTimes případně vytváří symbolický odkaz hash.
• FTimes případně provádí psaní souborů přes XMagic. V případě, že jsou stovky nebo tisíce neznámých hash, je obtížné určit, které soubory mohou se změnily v důsledku škodlivého zákona. V těchto případech, informace o typu může být použit pro kategorizaci souborů a prioritu pořadí, ve kterém jsou zkoumány.
• FTimes má extrémně rychlý, laditelné porovnat schopnosti. To umožňuje, aby lékaře rychle analyzovat snímky a určit změny.

Co je nového v této verzi:

• kód byl vyčištěn a podle potřeby zdokonalovány
• Některé chyby byly opraveny.
• Tato verze obsahuje aktualizované podporu pro souborové háčky a zavádí KL-EL-based XMagic.
• V důsledku toho, minimální požadovaná verze libklel byla rasied na 1.1.0, který má k dispozici knihovna verze 2: 0:. 1
• byla přidána podpora souborového systému pro squashfs.