FTimes

FTimes er et system baselining og indsamling af bevismateriale værktøj. FTimes primære formål er at indsamle og / eller udvikle oplysninger om angivne mapper og filer på en måde, der fremmer indtrængen analyse.
FTimes er en letvægts redskab i den forstand, at det ikke behøver at være "installeret" på et givet system til at arbejde på det system, det er lille nok til at passe på en enkelt diskette, og det giver kun en kommandolinje-grænseflade.
Bevarelse optegnelser over al aktivitet, der opstår under et øjebliksbillede er vigtigt for indtrængen analyse og dokumentation formalitet. Af denne grund blev FTimes designet til at logge fire typer oplysninger: konfigurationsindstillinger, fremskridtsindikatorer, metrikker og fejl. Output produceret af FTimes afgrænses tekst, og derfor let optages af et bredt udvalg af eksisterende værktøjer.
FTimes dybest set implementerer to almene færdigheder: fil topografi og snor søgning. File topografi er processen med kortlægning vigtigste egenskaber af telefonbøger og filer på et givet filsystem. String søgning er processen med at grave gennem mapper og filer på en given fil system, mens leder efter en bestemt sekvens af bytes. Henholdsvis Disse kapaciteter benævnes kort mode og grave mode.
FTimes understøtter to driftsmiljøer: Workbench og klient-server. I workbench miljø, operatøren anvender FTimes at gøre ting som at undersøge beviser (f.eks et diskbillede eller filer fra en kompromitteret system), analysere snapshots for forandring, søge efter filer, der har særlige egenskaber, kontrollere fil integritet, og så videre . I klient-server miljø, fokus skifter fra hvad operatøren kan gøre lokalt, hvordan operatøren kan effektivt at overvåge, administrere og aggregerede snapshot data for mange værter. I klient-server miljø, det primære mål er at flytte indsamlede data fra værten til et centraliseret system, kendt som en Integrity server, på en sikker og autentificeret mode. En Integrity Server er en hærdet system, der er konfigureret til at håndtere FTimes GET, PING, og sætte HTTP / S anmodninger.
Den FTimes distributionen indeholder et script kaldet NPH-ftimes.cgi der kan anvendes i forbindelse med en webserver til at gennemføre en offentlig Integrity Server interface. Dybere emner som bygge- og interne mekanik en Integrity Server behandles ikke her

Egenskaber :.

• FTimes er nemt at bruge og hurtigt! Resten er ren sauce ...
• FTimes er skrevet i C og porteret til mange populære styresystemer såsom AIX, BSDI, FreeBSD, HP-UX, Linux, Solaris og Windows 98 / ME / NT / 2K / XP. FTimes kræver ikke yderligere runtime støtte såsom et script tolk (f.eks Perl) eller en virtuel maskine (f.eks JVM).
• FTimes behøver ikke at være installeret på kundens maskine. I mange tilfælde kan køres fra en diskette eller CD-ROM. På grund af dette kan FTimes konfigureres således, at det er minimalt invasiv til målsystemet. Dette er vigtigt, når de forsøger at indsamle beviser for et angreb på en levende system.
• FTimes har grundig skovhugst. Dette bidrager til at øge sin troværdighed og anerkendelse som bevis, fordi oplysningerne log kan anvendes til at bestemme den kendte eller potentielle fejl på værktøjet under forskellige forhold. FTimes logger fire typer oplysninger: konfigurationsindstillinger, fremskridtsindikatorer, metrikker og fejl
.
• FTimes registrerer og koder ikke-printbare tegn (fx hvide rum, vognretur, etc.) i filnavne. Dette sikrer, at din opfattelse af produktionen ikke er kunstigt ændret af de data, du kigger på. Den URL kodningsskema bruges også hjælper dig til hurtigt at fokusere på unormale filnavne.
• FTimes registrerer og behandler alternative datastrømme (ADS), når der kører på Windows NT / 2K / XP-systemer. Dette er ganske nyttigt i tilfælde, hvor gerningsmanden har brugt alternative datastrømme at skjule værktøjer og information.
• FTimes 'output afgrænses ASCII, og derfor er befordrende for analyse. Denne udgang kan sidestilles anvendelse af standard database teknologi samt en bred vifte af eksisterende værktøjer. Dette gør det mere fleksibelt end proprietære database ordninger, som er væsentlige uigennemsigtige til den praktiserende læge. Sidste ende er dette format giver bedre analyseresultater fordi udøveren i stand til at manipulere data frit og peers uafhængigt kan kontrollere analyseresultater. Igen, dette er med til at styrke sin troværdighed og anerkendelse som bevis.
• FTimes kan implementeres som en virksomhedsløsning med alle oplysninger, der sendes til og opbevares på en hærdet Integrity Server. Dette giver mulighed for central styring af data, og undgår problemet med at forlade data eksponeret på en kundes system. Data, der er gemt på en kundes er sårbart over for ondsindet ændring eller ødelæggelse.
• FTimes indbygget understøtter klient indledt HTTP / HTTPS uploads / downloads. Dette eliminerer behovet for grænsen enheder såsom firewalls at have en særlig indgående tilslutningsregler. Desuden er der en god chance for, at de eksisterende grænse-enheder understøtter allerede den nødvendige udgående kommunikation sti, fordi det er det samme som det kræves for at gå på nettet.
• FTimes giver en effektiv streng søgefunktion (aka grave tilstand). Dette er især nyttigt ved undersøgelser, når den pågældende har en profil af centrale ord eller byte strenge, der kan forventes at eksistere et sted på målet systemet.
• FTimes eventuelt understøtter enhedsfil gravere (blok / tegn).
• FTimes 'output kan konfigureres på en per attribut basis. Dette giver brugerne mulighed for at udvikle data på en måde, der er bedst egnet til deres behov.
• FTimes eventuelt producerer bibliotek hashes. Dette er en betydelig analyse fordel i situationer, hvor indholdet sjældent ændres. Fordelen er, at man hash effektivt repræsenterer indholdet af alle mapper og filer, der er indeholdt i et givet træ.
• FTimes eventuelt producerer symlink hashes.
• FTimes eventuelt udfører fil skrive via XMagic. Når der er hundreder eller tusinder af ukendte hashes, er det vanskeligt at afgøre, hvilke filer kan have ændret som følge af en ondsindet handling. I disse situationer kan typen information bruges til at kategorisere filer og prioritere den rækkefølge, de er undersøgt.
• FTimes har en ekstrem hurtig, afstemmelige sammenligne kapacitet. Dette gør det muligt udøveren til hurtigt at analysere snapshots og bestemme forandringer.

Hvad er nyt i denne udgivelse:

• Koden blev ryddet op og raffineret som nødvendigt
• Flere fejl er blevet rettet.
• Denne version indeholder opdaterede støtte til fil kroge og introducerer KL-EL-baserede XMagic.
• Derfor det krævede minimum version af libklel er rasied til 1.1.0, som har et bibliotek version 2: 0:. 1
• sattes Filsystem støtte til SquashFS.