FTimes

FTimes er et system baselining og bevis samling verktøy. FTimes primære formål er å samle og / eller utvikle informasjon om angitte kataloger og filer i en måte som bidrar til inntrenging analyse.
FTimes er et lett verktøy i den forstand at det ikke trenger å være "installert" på et gitt system for å jobbe på dette systemet, er det liten nok til å passe på en enkelt diskett, og det gir bare en kommandolinje-grensesnitt.
Bevare registreringer av all aktivitet som skjer i løpet av et øyeblikksbilde er viktig for inntrenging analyse og bevis admissibility. Av denne grunn ble FTimes designet for å logge fire typer informasjon: konfigurasjonsinnstillinger, fremdriftsindikatorer, beregninger, og feil. Utgang produsert av FTimes er avgrenset tekst, og derfor er lett assimilert av et bredt utvalg av eksisterende verktøy.
FTimes utgangspunktet implementerer to generelle evner: file topografi og streng søk. Fil topografi er prosessen med kartlegging viktige attributter av kataloger og filer på et gitt filsystem. String søk er prosessen med å grave gjennom kataloger og filer på en gitt filsystem mens du leter etter en bestemt sekvens av bytes. Henholdsvis, er disse evnene referert til som kartmodus og grave modus.
FTimes støtter to driftsmiljøer: arbeidsbenk og klient-server. I arbeidsbenken miljø, bruker operatøren FTimes å gjøre ting som å undersøke bevis (f.eks en disk image eller filer fra en kompromittert system), analysere snapshots for endring, søke etter filer som har bestemte egenskaper, verifisere fil integritet, og så videre . I klient-tjener-miljøet, skifter fokuset fra hva operatøren kan gjøre lokalt for å hvordan operatøren effektivt kan overvåke, administrere, og samlede snapshot data for mange verter. I klient-tjener-miljøet, er det primære målet å flytte innsamlede data fra verten til et sentralisert system, kjent som en Integrity Server, på en sikker og godkjent måte. En Integrity Server er en herdet system som er konfigurert til å håndtere FTimes GET, PING, og PUT HTTP / S forespørsler.
Den FTimes distribusjonen inneholder et skript som heter NPH-ftimes.cgi som kan brukes i forbindelse med en webserver for å gjennomføre en offentlig Integrity Server grensesnitt. Dypere temaer som bygging og interne mekanikken i en Integrity Server er ikke adressert her

Egenskaper .

• FTimes er lett å bruke og rask! Resten er ren saus ...
• FTimes har blitt skrevet i C og portet til mange populære operativsystemer som AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris og Windows 98 / ME / NT / 2K / XP. FTimes krever ikke ekstra kjøretidsstøtte som et skript tolk (for eksempel Perl) eller en Virtual Machine (f.eks JVM).
• FTimes trenger ikke å bli installert på kundens maskin. I mange tilfeller kan det kjøres fra en diskett eller CD-ROM. På grunn av dette, kan FTimes være konfigurert slik at det er minimalt invasiv til målsystemet. Dette er viktig når du prøver å samle bevis for et angrep på en live-system.
• FTimes har grundig logging. Dette bidrar til å øke sin troverdighet og avvisnings som bevis fordi logginformasjon kan brukes til å bestemme den kjente eller potensielle feilrate av verktøyet under forskjellige betingelser. FTimes logger fire typer informasjon: konfigurasjonsinnstillinger, fremdriftsindikatorer, beregninger, og feil
.
• FTimes oppdager og koder ikke-utskrivbare tegn (for eksempel white space, linjeskift, etc.) i filnavn. Dette sikrer at ditt syn på produksjonen ikke er kunstig endret av data du ser på. URL-koding ordningen brukes også hjelper deg å raskt fokusere på avvik filnavn.
• FTimes oppdager og behandler alternativ dataflyt (ADS) når du kjører Windows NT / 2K / XP. Dette er ganske nyttig i tilfeller der gjerningsmannen har brukt alternativ dataflyt for å skjule verktøy og informasjon.
• FTimes 'utgang er avgrenset ASCII, og derfor er som bidrar til analyse. Denne utgangen kan bli assimilert med standard databaseteknologi samt et bredt utvalg av eksisterende verktøy. Dette gjør det mer fleksibelt enn proprietære database ordninger som er essensielt ugjennomsiktig til utøveren. Til syvende og sist gir dette formatet bedre analyseresultater fordi utøveren er i stand til å manipulere data fritt, og jevnaldrende kan uavhengig verifisere analyseresultater. Igjen, bidrar dette til å styrke sin troverdighet og avvisnings som bevis.
• FTimes kan distribueres som en bedriftsløsning med all informasjon blir overført til og bevart på en herdet Integrity Server. Dette gjør det mulig for sentralisert styring av data, og unngår problemet med å forlate data eksponert på en kundes system. Data som er lagret på en kundes system er utsatt for ondsinnet endring eller ødeleggelse.
• FTimes opprinnelig støtter klient initiert HTTP / HTTPS opplastinger / nedlastinger. Dette eliminerer behovet for grense enheter som brannmurer for å ha en spesiell innkommende tilkoblings regler. Videre er det en god sjanse for at eksisterende grense enhetene som allerede støtter den nødvendige utgående kommunikasjon banen fordi det er den samme som er nødvendig for å surfe på Internett.
• FTimes gir en effektiv streng søkefunksjon (aka grave modus). Dette er spesielt nyttig i etterforskning når utøveren har en profil av stikkord eller byte-strenger som sannsynligvis vil finnes et sted på målsystemet.
• FTimes støtter eventuelt enhetsfil graving (blokk / karakter).
• FTimes 'produksjon er konfigurerbart på en per attributt basis. Dette tillater brukere å utvikle data på en måte som er best tilpasset deres behov.
• FTimes eventuelt produserer katalog hashes. Dette er en betydelig fordel analyse i situasjoner hvor innholdet sjelden endringer. Fordelen er at en hash representerer effektivt innholdet i alle kataloger og filer i en gitt tre.
• FTimes eventuelt produserer symlink hashes.
• FTimes utfører eventuelt fil typing via XMagic. Når det er hundrevis eller tusenvis av ukjente hashes, er det vanskelig å avgjøre hvilke filer kan ha endret seg som følge av en ondsinnet handling. I slike situasjoner kan typen informasjon brukes til å kategorisere filer og prioritere rekkefølgen de er undersøkt.
• FTimes har en ekstremt rask, tunbare sammenligne evne. Dette gjør det mulig for utøveren å raskt analysere snapshots og bestemme endring.

Hva er nytt i denne utgaven:

• Koden ble ryddet opp og raffinert som nødvendig
• Flere bugs har blitt fikset.
• Denne utgivelsen inneholder oppdatert støtte for fil kroker og introduserer KL-EL-baserte XMagic.
• følgelig det minimum som kreves versjon av libklel er rasied til 1.1.0, som har et bibliotek versjon av 2: 0. 1
• File systemstøtte for SquashFS ble lagt til.