Ftimes. Baselining do sistema e ferramenta de coleta de evidências
Baixe Agora

Ftimes. Classificação e resumo

Ftimes. Tag

desenvolve coletar. reunir coletar evidências desenvolver informações topográficas Reúna informações topográficas

Ftimes. Descrição

Sistema Baselining e Ferramenta de Coleta de Evidências O objetivo principal da FTimes é reunir e / ou desenvolver informações topográficas e atributos sobre diretórios e arquivos específicos de uma maneira propícia e análise forense.ftimes é uma ferramenta leve no sentido de que não precisa ser "instalado" Em um determinado sistema para trabalhar nesse sistema, é pequeno o suficiente para caber em um único disquete, e ele fornece apenas uma interface de linha de comando.Preservando registros de toda a atividade que ocorre durante um instantâneo é importante para a análise de intrusão e a admissibilidade das evidências. Por esse motivo, o FTimes foi projetado para registrar quatro tipos de informações: configurações, indicadores de progresso, métricas e erros. A saída produzida pela FTimes é texto delimitada e, portanto, é facilmente assimilada por uma ampla variedade de ferramentas existentes.FTimes basicamente implementa duas capacidades gerais: a topografia do arquivo e a pesquisa de string. A topografia do arquivo é o processo de mapeamento de atributos de chave de diretórios e arquivos em um determinado sistema de arquivos. A pesquisa de string é o processo de cavar através de diretórios e arquivos em um determinado sistema de arquivos enquanto procura uma seqüência específica de bytes. Respectivamente, essas capacidades são referidas como modo de mapa e Dig Mode.FTimes suportam dois ambientes operacionais: Workbench e Client-Server. No ambiente de bancada de trabalho, o operador usa os ftimes para fazer coisas como examinar evidências (por exemplo, uma imagem ou arquivos de disco de um sistema comprometido), analisar instantâneos para alteração, procure por arquivos que tenham atributos específicos, verifique a integridade do arquivo, e assim por diante . No ambiente do servidor cliente, o foco muda do que o operador pode fazer localmente para como o operador pode monitorar, gerenciar e agregar dados de instantâneos de forma eficiente para muitos hosts. No ambiente do cliente-servidor, o objetivo principal é mover dados coletados do host para um sistema centralizado, conhecido como servidor de integridade, de forma segura e autenticada. Um servidor integridade é um sistema endurecido que foi configurado para lidar com ping, colocar http / s e ftimes obter solicitações. A distribuição de ftimes contém um script chamado NPH-FTimes.cgi que pode ser usado em conjunto com um servidor da Web para implementar um público Interface do servidor de integridade. Tópicos mais profundos, como a construção e a mecânica interna de um servidor de integridade, não são endereçados aqui. Nota: As FTimes são licenciadas e distribuídas nos termos da licença BSD. Aqui estão algumas características importantes de "ftimes": · FTimes é fácil de usar e rápido! O resto é puro molho ... · Os FTimes foram escritos em C e portado para muitos operadores operacionais, como AIX, BSDI, FreeBSD, HP-UX, Linux, Solaris e Windows 98 / Me / NT / 2K / XP. Os ftimes não requer suporte de tempo de execução adicional, como um interpretador de script (por exemplo, perl) ou uma máquina virtual (por exemplo, JVM). · FTimes não precisa ser instalado na máquina do cliente. Em muitos casos, pode ser executado de um disquete ou cdrom. Por causa disso, os FTimes podem ser configurados de forma que ele seja minimamente invasivo para o sistema de destino. Isso é importante ao tentar coletar evidências de um ataque em um sistema ao vivo. · FTimes tem registro completo. Isso ajuda a aumentar sua credibilidade e admissibilidade como prova, porque as informações de log podem ser usadas para determinar a taxa de erro conhecida ou potencial da ferramenta em várias condições. Os FTimes registram quatro tipos de informações: configurações, indicadores de progresso, métricas e erros. · FTimes detecta e codifica caracteres não imprimíveis (por exemplo, espaço em branco, retornos de carruagem, etc.) em nomes de arquivos. Isso garante que sua visão da saída não seja alterada artificialmente pelos dados que você está olhando. O esquema de codificação de URL usado também ajuda você a se concentrar rapidamente em nomes de arquivos anômalos. Outras ferramentas populares forense e / ou de análise não fazem isso, e por causa disso, a saída na tela que eles produzem podem potencialmente ser manipuladas através do uso de nomes de arquivos inteligentes. As FTimes tiveram esse recurso por muitos anos. · FTimes detecta e processa fluxos de dados alternativos (anúncios) ao executar sistemas Windows NT / 2K / XP. Isso é bastante útil nos casos em que o perpetrador usou fluxos de dados alternativos para ocultar ferramentas e informações. A partir da versão 3.8.0, os FTimes podem processar anúncios do Linux quando uma partição NTFS é montada como o tipo NTFS-3G. Mais detalhes sobre isso podem ser encontrados aqui. · FTimes produz saída configurável em uma base por atributo que é delimitada ASCII. Portanto, é propício para a análise. Essa saída pode ser assimilada usando a tecnologia padrão de banco de dados, bem como uma ampla gama de ferramentas existentes. Isso torna mais flexíveis que os esquemas de banco de dados proprietários que são essencialmente opacos ao praticante. Em última análise, esse formato produz melhores resultados de análise porque o praticante é capaz de manipular livremente os dados, e os pares podem verificar independentemente os resultados da análise. Mais uma vez, isso ajuda a fortalecer sua credibilidade e admissibilidade como prova. · As ftimes podem ser implantadas como uma solução corporativa com todas as informações transmitidas e preservadas em um servidor integridade endurecido. Isso permite o gerenciamento centralizado de dados e evita o problema de deixar os dados expostos no sistema de um cliente. Os dados armazenados no sistema de um cliente são vulneráveis à modificação ou destruição mal-intencionada. · As FTimes suporta o cliente iniciado por cliente / uploads / downloads de https / https. Isso elimina a necessidade de dispositivos limites, como firewalls para ter uma regra de conexão especial. Além disso, há uma boa chance de que os dispositivos de fronteira já existentes já suportem o caminho de comunicações de saída necessário, porque é o mesmo que necessário para navegar na web. · FTimes fornece uma capacidade de pesquisa de string eficiente (modo A.K.A. Dig). Isso é particularmente útil em investigações quando o praticante tem um perfil de palavras-chave ou cordas de bytes que provavelmente existirão em algum lugar no sistema de destino. · FTimes Opcionalmente suporta a escavação do arquivo de dispositivo (bloco / caractere). · As FTimes produz opcionalmente os hashes de diretório. Esta é uma vantagem significativa de análise em situações em que o conteúdo raramente muda. A vantagem é que um hash efetivamente representa o conteúdo de todos os diretórios e arquivos contidos em uma determinada árvore. · As FTimes produz opcionalmente hashes do link. · FTimes Executa opcionalmente digitando o arquivo via XMagic. Quando há centenas ou milhares de hashes desconhecidos, é difícil determinar quais arquivos podem ter mudado como resultado de um ato malicioso. Nessas situações, digite informações podem ser usadas para categorizar arquivos e priorizar a ordem em que são examinados. · FTimes tem uma capacidade de comparação extremamente rápida e ajustável. Isso permite que o praticante analise rapidamente os instantâneos e determine a mudança. · FTimes tem um aumento crescente de teste com literalmente milhares de testes para ajudar a garantir confiabilidade, consistência e acácata. Isso também ajuda a aumentar sua credibilidade e admissibilidade como prova. O que há de novo nesta versão: · Geralmente, o código foi limpo e refinado conforme necessário. · Esta versão inclui suporte para hash256 hashes, incluir / excluir filtros e vários sistemas de arquivos adicionais (DataPlow_ZFS, NTFS-3G, NWCompat, UDF). · Os utilitários do Hashdig foram atualizados para apoiar os hashes SHA1 e SHA256, e as seguintes ferramentas foram adicionadas ao projeto: ftimes-crv2dbi.pl, ftimes-dig2dbi.pl, hashdig-find.pl e asfalto. · Observe que a documentação não é mais construída no tempo de liberação, e isso significa que seu sistema de compilação deve incluir as ferramentas necessárias para criar a documentação.

Ftimes. Software Relacionado