FTimes

FTimes είναι μια κατασκευή βάσης του συστήματος και τη συλλογή αποδεικτικών στοιχείων εργαλείο. Πρωταρχικός σκοπός FTimes είναι να συγκεντρωθούν ή / και να αναπτύξουν πληροφορίες σχετικά με καθορισμένους καταλόγους και αρχεία, με τρόπο ευνοϊκό για την ανάλυση εισβολής.
FTimes είναι ένα ελαφρύ εργαλείο με την έννοια ότι δεν χρειάζεται να «εγκατασταθεί» σε ένα δεδομένο σύστημα να λειτουργήσει σε αυτό το σύστημα, είναι αρκετά μικρό για να χωρέσει σε μία δισκέτα, και παρέχει μόνο μια διεπαφή γραμμής εντολών.
Διατήρηση αρχείων όλων των δραστηριοτήτων που συμβαίνει κατά τη διάρκεια μιας στιγμιότυπο είναι σημαντική για την ανάλυση εισβολής και τα αποδεικτικά στοιχεία του παραδεκτού. Για το λόγο αυτό, FTimes σχεδιάστηκε για να συνδεθείτε τέσσερις τύπους πληροφοριών: ρυθμίσεις, οι δείκτες προόδου, τις μετρήσεις, και λάθη. Εξόδου που παράγονται από FTimes οριοθετείται κείμενο, και ως εκ τούτου, μπορεί εύκολα να αφομοιωθεί από μια ευρεία ποικιλία των υπαρχόντων εργαλείων.
FTimes υλοποιεί βασικά δύο γενικές ικανότητες: τοπογραφία αρχείο και συμβολοσειράς αναζήτησης. Τοπογραφία αρχείου είναι η διαδικασία των ιδιοτήτων κλειδί χαρτογράφηση των καταλόγων και των αρχείων σε ένα δεδομένο σύστημα αρχείων. Αναζήτηση String είναι η διαδικασία του να σκάβουν μέσα από τους καταλόγους και τα αρχεία σε ένα συγκεκριμένο σύστημα αρχείων, ενώ ψάχνει για μια συγκεκριμένη ακολουθία από bytes. Αντίστοιχα, οι δυνατότητες αυτές αναφέρονται ως απεικόνιση του χάρτη και τη λειτουργία ανασκαφή.
FTimes υποστηρίζει δύο περιβάλλοντα λειτουργίας: πάγκος εργασίας και client-server. Στο περιβάλλον πάγκο εργασίας, ο φορέας εκμετάλλευσης χρησιμοποιεί FTimes να κάνουμε τα πράγματα όπως εξετάζει τα αποδεικτικά στοιχεία (π.χ., μια εικόνα δίσκου ή αρχεία από ένα σύστημα σε κίνδυνο), αναλύει στιγμιότυπα για αλλαγή, η αναζήτηση για τα αρχεία που έχουν συγκεκριμένα χαρακτηριστικά, επιβεβαιώστε την ακεραιότητα του αρχείου, και ούτω καθεξής . Στο περιβάλλον client-server, η εστίαση μετατοπίζεται από ό, τι ο φορέας μπορεί να προβεί σε τοπικό επίπεδο για το πώς ο χειριστής μπορεί να παρακολουθεί αποτελεσματικά, διαχειριστείτε, και συνολικά στοιχεία στιγμιότυπο για πολλούς οικοδεσπότες. Στο περιβάλλον client-server, ο πρωταρχικός στόχος είναι να περάσουμε συνέλεξε στοιχεία από τον ξενιστή σε ένα κεντρικό σύστημα, γνωστό ως Ακεραιότητα διακομιστή, σε μια ασφαλή και επικυρώνονται μόδας. Μια Ακεραιότητα Server είναι ένα σκληρυσμένο σύστημα που έχει διαμορφωθεί για να χειριστεί FTimes GET, ping, HTTP PUT και S / αιτήματα.
Η κατανομή FTimes περιέχει ένα σενάριο που να ονομάζεται NPH-ftimes.cgi που μπορεί να χρησιμοποιηθεί σε συνδυασμό με ένα διακομιστή Web για να εφαρμόσει ένα κοινό περιβάλλον Ακεραιότητα Server. Βαθύτερη θέματα όπως η κατασκευή και η εσωτερική μηχανική της Ακεραιότητας Server δεν εξετάζονται εδώ

Χαρακτηριστικά :.

• FTimes είναι εύκολο στη χρήση και γρήγορο! Τα υπόλοιπα είναι καθαρό σάλτσα ...
• FTimes έχει γραφτεί σε C και μεταφερθεί σε πολλά δημοφιλή λειτουργικά συστήματα, όπως το AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris και Windows 98 / ME / NT / 2K / XP. FTimes δεν απαιτούν πρόσθετη υποστήριξη εκτέλεσης, όπως ένα διερμηνέα σενάριο (π.χ., Perl) ή σε Virtual Machine (π.χ., JVM).
• FTimes δεν χρειάζεται να εγκατασταθεί στον υπολογιστή του πελάτη. Σε πολλές περιπτώσεις, αυτό μπορεί να εκτελεστεί από μια δισκέτα ή CD-ROM. Εξαιτίας αυτού, FTimes μπορεί να διαμορφωθεί έτσι ώστε να είναι ελάχιστα επεμβατικές στο σύστημα στόχου. Αυτό είναι σημαντικό όταν προσπαθεί να συλλέξει στοιχεία για μια επίθεση σε ένα ζωντανό σύστημα.
• FTimes έχει λεπτομερή καταγραφή. Αυτό βοηθά να αυξηθεί η αξιοπιστία και το παραδεκτό τους ως αποδεικτικών στοιχείων, επειδή οι πληροφορίες καταγραφής μπορεί να χρησιμοποιηθεί για να προσδιοριστούν οι γνωστές ή δυνητικού ρυθμού σφάλματος του εργαλείου υπό διάφορες συνθήκες. FTimes καταγράφει τέσσερις τύπους πληροφοριών: ρυθμίσεις, οι δείκτες προόδου, μετρήσεις και σφάλματα
.
• FTimes ανιχνεύει και κωδικοποιεί μη-εκτυπώσιμους χαρακτήρες (π.χ., άσπρο διάστημα, επιστρέφει μεταφορά, κλπ) σε ονόματα αρχείων. Αυτό εξασφαλίζει ότι η άποψή σας για την έξοδο δεν αλλάζει τεχνητά από τα στοιχεία που κοιτάτε. Το σχήμα URL κωδικοποίησης που χρησιμοποιείται, επίσης, σας βοηθά να εστιάσει γρήγορα σε σε ανώμαλο ονόματα.
• FTimes εντοπίζει και επεξεργάζεται εναλλακτικές ροές δεδομένων (ΚΕΠ) όταν τρέχει σε Windows NT / 2K συστήματα / XP. Αυτό είναι πολύ χρήσιμο σε περιπτώσεις κατά τις οποίες ο δράστης έχει χρησιμοποιήσει εναλλακτικές ροές δεδομένων για να κρύψει τα εργαλεία και τις πληροφορίες.

Εξόδου
• FTimes »οριοθετείται ASCII, και ως εκ τούτου, είναι ευνοϊκό για την ανάλυση. Αυτή η έξοδος μπορεί να αφομοιωθεί χρησιμοποιώντας πρότυπη τεχνολογία βάσης δεδομένων, καθώς και ένα ευρύ φάσμα από τα υπάρχοντα εργαλεία. Αυτό καθιστά ακόμη πιο ευέλικτη από ιδιόκτητα συστήματα βάσεων δεδομένων που είναι ουσιαστικά αδιαφανές στο ιατρού. Τελικά, αυτή η μορφή αποδίδει καλύτερα αποτελέσματα ανάλυσης, διότι ο γιατρός είναι σε θέση να χειριστούν τα δεδομένα ελεύθερα, και οι συνομήλικοί μπορεί ανεξάρτητα να ελέγξει τα αποτελέσματα των αναλύσεων. Και πάλι, αυτό βοηθά να ενισχυθεί η αξιοπιστία και το παραδεκτό της ως αποδεικτικό στοιχείο.
• FTimes μπορεί να αναπτυχθεί ως μια επιχειρηματική λύση με όλες τις πληροφορίες που διαβιβάζονται και διατηρούνται σε σκληρύνει Ακεραιότητα Server. Αυτό επιτρέπει την κεντρική διαχείριση των δεδομένων, και αποφεύγει το πρόβλημα του αφήνοντας τα δεδομένα που εκτίθενται στο σύστημα του πελάτη. Τα δεδομένα που αποθηκεύονται στο σύστημα του πελάτη είναι ευάλωτο σε κακόβουλες τροποποίηση ή καταστροφή.
• FTimes εγγενώς στηρίζει τους πελάτες ξεκινήσει HTTP / HTTPS προσθήκες / λήψεις. Αυτό εξαλείφει την ανάγκη για όριο συσκευές όπως firewalls για να έχουν ένα ειδικό εισερχόμενες κανόνες σύνδεσης. Επιπλέον, υπάρχει μια καλή πιθανότητα ότι οι υπάρχουσες συσκευές όριο υποστηρίζουν ήδη την απαιτούμενη διαδρομή εξερχόμενες επικοινωνίες, διότι είναι η ίδια με εκείνη που απαιτείται για την περιήγηση στο Web.
• FTimes παρέχει μια αποτελεσματική δυνατότητα αναζήτησης εγχόρδων (γνωστός και ως σκάψει λειτουργία). Αυτό είναι ιδιαίτερα χρήσιμο στις έρευνες, όταν ο επαγγελματίας έχει ένα προφίλ από λέξεις-κλειδιά ή χορδές byte που είναι πιθανό να υπάρχουν κάπου στο σύστημα στόχο.
• FTimes υποστηρίζει προαιρετικά αρχείο συσκευής σκάψιμο (μπλοκ / χαρακτήρα).

Εξόδου
• FTimes »μπορεί να ρυθμιστεί σε κάθε χαρακτηριστικό βάση. Αυτό επιτρέπει στους χρήστες να αναπτύξουν τα δεδομένα με τρόπο που ταιριάζει καλύτερα στις ανάγκες τους.
• FTimes παράγει προαιρετικά hashes κατάλογο. Αυτό είναι ένα σημαντικό πλεονέκτημα ανάλυση σε περιπτώσεις όπου το περιεχόμενο σπάνια αλλάζει. Το πλεονέκτημα είναι ότι ένα hash αντιπροσωπεύει ουσιαστικά το περιεχόμενο όλων των καταλόγων και των αρχείων που περιλαμβάνονται σε ένα συγκεκριμένο δέντρο.
• FTimes παράγει προαιρετικά συμβολικού δεσμού hashes.
• FTimes εκτελεί προαιρετικά αρχείο πληκτρολογώντας μέσω XMagic. Όταν υπάρχουν εκατοντάδες ή χιλιάδες άγνωστα hashes, είναι δύσκολο να καθοριστεί ποια αρχεία μπορεί να έχουν αλλάξει ως αποτέλεσμα της κακόβουλης πράξης. Σε αυτές τις περιπτώσεις, οι πληροφορίες του τύπου μπορεί να χρησιμοποιηθεί για την κατηγοριοποίηση των αρχείων και να δώσει προτεραιότητα στην σειρά με την οποία εξετάζονται.
• FTimes έχει μια εξαιρετικά γρήγορη, συντονίσιμα συγκρίνετε ικανότητα. Αυτό επιτρέπει στον επαγγελματία να αναλύσει γρήγορα στιγμιότυπα και να καθορίσει την αλλαγή.

Τι είναι καινούργιο σε αυτήν την έκδοση:

• Ο κώδικας καθαριστεί και εξευγενισμένα, όπως είναι απαραίτητο
• Πολλά σφάλματα που έχουν καθοριστεί.
• Αυτή η έκδοση περιλαμβάνει υποστήριξη για ενημερωμένες άγκιστρα αρχείο και εισάγει KL-EL-based XMagic.
• Κατά συνέπεια, η ελάχιστη απαιτούμενη έκδοση του libklel έχει rasied στο 1.1.0, η οποία έχει μια έκδοση της βιβλιοθήκης 2: 0:. 1
• Προστέθηκε υποστήριξη του συστήματος αρχείων για SquashFS.