FTimes

FTimes jest narzędziem baselining systemu i zbieranie dowodów. Głównym celem FTimes jest do gromadzenia i / lub opracowania informacji o określonych plików i katalogów w sposób prowadzący do analizy włamań.
FTimes to lekkie narzędzie, w tym sensie, że nie musi być "zainstalowane" w danym systemie, aby pracować na tym systemie, jest wystarczająco mały, by zmieścić się na jednej dyskietce, a to zapewnia tylko interfejs wiersza poleceń.
Zachowanie rejestry wszystkich aktywności, które występuje podczas migawki jest istotne dla analizy włamań oraz dowody dopuszczalności. Z tego powodu, FTimes został zaprojektowany, aby zalogować się cztery rodzaje informacji: ustawienia konfiguracyjne, wskaźniki postępu, miary i błędów. Moc wytwarzana przez FTimes jest ograniczony tekst, a zatem jest łatwo przyswajalne przez różnych istniejących narzędzi.
FTimes zasadzie realizuje dwa ogólne możliwości: wyszukiwanie plików i topografii ciąg. Topografia plik jest proces mapowania z kluczowych atrybutów plików i katalogów na danym systemie plików. Ciąg wyszukiwania to proces kopania katalogów i plików w danym systemie plików, szukając konkretnej sekwencji bajtów. Odpowiednio, funkcje te są określane jako tryb mapy i tryb dig.
FTimes obsługuje dwa operacyjnych środowisk: izolujące i klient-serwer. W środowisku stołów, operator korzysta FTimes do zrobienia rzeczy, takich jak zbadania dowodów (np, obraz dysku lub pliki z zaatakowanego systemu), analiza zdjęć na zmianę, wyszukiwać pliki, które mają specyficzne cechy, sprawdzenie integralności plików, i tak dalej , W środowisku klient-serwer, fokus jest przenoszony z tego, co można zrobić na miejscu operatora, jak operator może skutecznie monitorować, zarządzać i zsumowane dane migawkowe dla wielu komputerów. W środowisku klient-serwer, głównym celem jest, aby przenieść dane zebrane z hosta do scentralizowanego systemu, znanego jako Integrity Server, w bezpiecznym i uwierzytelnionego mody. Uczciwość Server jest utwardzony, że system został skonfigurowany do obsługi FTimes GET, PING, i PUT żądań HTTP / S.
Rozkład FTimes zawiera skrypt o nazwie NPH-ftimes.cgi, które mogą być używane w połączeniu z serwerem WWW wdrożenie publicznego interfejsu Integrity Server. Głębsze tematy takie jak budowa i wewnętrznych mechaniki z Integrity Server nie są tutaj

Opis .

• FTimes jest łatwe w użyciu i szybko! Reszta to czysty sos ...
• FTimes został napisany w języku C i zaadoptowany przez wiele popularnych systemów operacyjnych, takich jak AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris i Windows 98 / ME / NT / 2K / XP. FTimes nie wymaga dodatkowego wsparcia wykonania, takie jak interpreter skryptów (np, Perl) lub maszynie wirtualnej (np, JVM).
• FTimes nie musi być zainstalowany na komputerze klienta. W wielu przypadkach może to być uruchamiany z dyskietki lub CD-ROM. Z tego powodu, FTimes może być skonfigurowana tak, że jest minimalnie inwazyjny w systemie. Jest to ważne, gdy stara się zebrać dowody ataku na żywo systemu.
• FTimes ma dokładną rejestrację. Przyczynia się to do zwiększenia wiarygodności i dopuszczalność jako dowód, ponieważ informacje dziennika może być wykorzystane do określenia, na podstawie znanych lub potencjalny poziom błędu narzędzia w różnych warunkach. FTimes loguje cztery rodzaje informacji: ustawienia konfiguracyjne, wskaźniki postępu, miary i błędów
.
• FTimes wykrywa i koduje niedrukowalne znaki (np białą przestrzeń, powrotu karetki, etc.) w nazwach plików. Gwarantuje to, że twój widok produkcji nie jest sztucznie zmienione przez dane patrzysz. Schemat kodowania URL używany także pomaga szybko skupić się na nieprawidłowych nazw plików.
• FTimes rozpoznaje i przetwarza alternatywne strumienie danych (ADS), gdy uruchomione na / 2K / XP Windows NT. Jest to bardzo przydatne w przypadku, gdy sprawca używanych alternatywne strumienie danych, aby ukryć informacje i narzędzia.

Wyjście
• FTimes "jest ograniczony ASCII, a zatem przyczynia się do analizy. Wyjście to może być utożsamiana z użyciem standardowej technologii baz danych, a także szeroki wachlarz istniejących narzędzi. To sprawia, że ​​bardziej elastyczne niż własnych systemów baz danych, które są zasadniczo nieprzezroczyste do lekarza. Ostatecznie, ten format daje lepsze wyniki analizy, bo lekarz jest w stanie manipulować danymi swobodnie i rówieśników może samodzielnie sprawdzić wyniki analizy. Ponownie, to pomaga wzmocnić swoją wiarygodność i dopuszczalności jako dowód.
• FTimes mogą być wdrażane jako rozwiązanie dla przedsiębiorstw z wszystkich informacji przesyłanych do i zachowane na utwardzonym Integrity Server. To pozwala na scentralizowane zarządzanie danymi, a unika się problemu pozostawiając dane narażone na systemie klienta. Dane przechowywane w systemie klienta jest narażone na złośliwe modyfikacji lub zniszczenia.
• FTimes natywnie obsługuje klienta zainicjowane HTTP / HTTPS / pliki do pobrania przesłane. Eliminuje to konieczność dla urządzeń brzegowych, takich jak zapory ogniowe mieć specjalny przychodzących zasady połączenia. Ponadto, istnieje duża szansa, że ​​już istniejące urządzenia brzegowe wsparcia niezbędnej ścieżkę komunikacji wychodzącej, ponieważ jest taki sam, jak potrzebne do przeglądania sieci Web.
• FTimes zapewnia wydajne funkcje wyszukiwania ciąg (aka tryb dig). Jest to szczególnie przydatne w badaniach, gdy lekarz ma profil słów kluczowych lub ciągów bajtów, które mogą istnieć gdzieś w systemie docelowym.
• FTimes opcjonalnie obsługuje plik urządzenia kopania (blok / znak).

Wyjście
• FTimes "jest konfigurowalny na jednej atrybutu podstawie. Pozwala to użytkownikom na opracowanie danych w sposób, który jest najlepiej dostosowany do ich potrzeb.
• FTimes opcjonalnie wytwarza skrótów katalogów. Jest to istotna zaleta w sytuacji, gdy analiza treści rzadko zmienia. Zaletą jest to, że jeden hash skutecznie reprezentuje zawartość wszystkich katalogów i plików znajdujących się w danym drzewie.
• FTimes opcjonalnie wytwarza Symlink skrótów.
• FTimes opcjonalnie wykonuje plików pisania poprzez XMagic. Gdy istnieją setki tysięcy nieznanych skrótów, trudno jest określić, które pliki uległy zmianie w wyniku szkodliwego czynu. W takich sytuacjach, informacje typu mogą być wykorzystywane do kategoryzowania plików i określić kolejność, w której są badane.
• FTimes ma bardzo szybki, dostrajać porównać możliwości. Pozwala to lekarzowi na szybkie analizy zdjęć i ustalić zmiany.

Co nowego w tym wydaniu:

• Kod został oczyszczony i wyrafinowane, jak to konieczne.
• Kilka błędów zostało poprawionych.
• To wydanie zawiera aktualne wsparcie dla plików i haki KL-EL wprowadza na bazie XMagic.
• W związku z tym, minimalna wymagana wersja libklel został rasied do 1.1.0, który ma wersję biblioteki 2: 0:. 1
• System dodano wsparcie dla SquashFS plików.