FTimes

FTimes is een systeem baselining en het verzamelen van bewijzen tool. Primaire doel FTimes's is het verzamelen en / of het ontwikkelen van informatie over de opgegeven mappen en bestanden op een manier die bevorderlijk is voor inbraak analyse.
FTimes is een lichtgewicht gereedschap in de zin dat het niet hoeft te worden "geplaatst" op een gegeven systeem te werken dat systeem is klein genoeg om op een floppy, en geeft slechts een opdrachtregel.
Het behoud van gegevens van alle activiteiten die plaatsvinden tijdens een momentopname is van belang voor inbraak analyse en bewijs ontvankelijkheid. Om deze reden werd FTimes ontworpen om vier soorten informatie te melden: configuratie-instellingen, de voortgang indicatoren, metrics, en fouten. Uitvoer die FTimes wordt gescheiden tekst, en daarom wordt gemakkelijk opgenomen door diverse bestaande instrumenten.
FTimes implementeert in principe twee algemene vaardigheden: bestand topografie en string zoeken. File topografie is het proces van het in kaart brengen van de belangrijkste eigenschappen van mappen en bestanden op een bepaald bestandssysteem. Zoeken op tekst is het proces van graven door mappen en bestanden op een bepaald bestand systeem, terwijl op zoek naar een specifieke opeenvolging van bytes. Respectievelijk, zijn deze mogelijkheden aangeduid als kaart-modus en graven modus.
FTimes ondersteunt twee omgevingen: werkbank en client-server. In de werkbank milieu, de exploitant gebruikt FTimes om dingen te doen, zoals onderzoeken bewijs (bijvoorbeeld een disk image of bestanden van een gecompromitteerd systeem), analyseren snapshots voor verandering, zoeken naar bestanden die specifieke kenmerken hebben, controleert de integriteit van bestanden, en ga zo maar door . In de client-server omgeving, verschuift de focus van wat de operator ter plaatse kunnen doen om de manier waarop de operator efficiënt kunnen bewaken, beheren en geaggregeerde momentopname gegevens voor veel hosts. In de client-server-omgeving, het primaire doel is om de verzamelde gegevens te verplaatsen van de host naar een gecentraliseerd systeem, bekend als een Integrity Server, op een veilige en geverifieerd mode. Een Integrity Server is een gehard systeem dat is geconfigureerd voor het verwerken FTimes GET, PING, en PUT HTTP / S aanvragen.
De FTimes verdeling bevat een script genaamd NPH-ftimes.cgi die kunnen worden gebruikt in combinatie met een webserver publieke Integrity Server interface vereist. Diepere onderwerpen zoals de bouw en de interne werking van een Integrity Server zijn hier niet aan de orde

Kenmerken .

• FTimes is eenvoudig te gebruiken en snel! De rest is pure jus ...
• FTimes is geschreven in C en geport naar vele populaire besturingssystemen, zoals AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris en Windows 98 / ME / NT / 2K / XP. FTimes geen extra runtime-ondersteuning nodig, zoals een script tolk (bijv, Perl) of een Virtual Machine (bijv JVM).
• FTimes hoeft niet op de machine van de klant te worden geïnstalleerd. In veel gevallen kan het worden uitgevoerd vanaf een diskette of cd-rom. Hierdoor kan FTimes zodanig worden geconfigureerd dat deze minimaal invasieve het doelsysteem. Dit is belangrijk wanneer het proberen om het bewijs van een aanval op een live systeem te verzamelen.
• FTimes heeft een grondige loggen. Dit helpt om de geloofwaardigheid en de toelaatbaarheid toenemen als bewijs, omdat de log informatie kan worden gebruikt om de bekende of potentiële foutmarge van het gereedschap onder verschillende omstandigheden te bepalen. FTimes logt vier soorten informatie: configuratie-instellingen, de voortgang indicatoren, metrics, en fouten
.
• FTimes detecteert en codeert voor niet-afdrukbare tekens (bijvoorbeeld, witte ruimte, harde returns, etc.) in bestandsnamen. Dit zorgt ervoor dat uw weergave van de uitvoer is niet kunstmatig veranderd door de gegevens die u naar kijkt. De URL-codering regeling ook gebruikt helpt u om snel scherp in op afwijkende bestandsnamen.
• FTimes detecteert en verwerkt Alternate Data Streams (ADS) bij het draaien op Windows NT / 2K / XP-systemen. Dit is heel handig in gevallen waarin de dader heeft gebruikt Alternate Data Streams tot hulpmiddelen en informatie te verbergen.

Uitgang
• FTimes 'wordt begrensd ASCII, en dus bevorderlijk is voor analyse. Deze uitgang kan worden gelijkgesteld met behulp van standaard database-technologie, evenals een breed scala van bestaande instrumenten. Dit maakt het flexibeler dan eigendomsdatabase stelsels die in wezen ondoorlatend voor de vakman. Uiteindelijk is dit formaat levert betere resultaten van de analyse, omdat de beoefenaar in staat om data vrij te manipuleren, en collega's kunnen onafhankelijk analyse resultaten te controleren. Nogmaals, dit helpt om de geloofwaardigheid en de toelaatbaarheid als bewijsmiddel. Versterken
• FTimes kan worden ingezet als een enterprise-oplossing met alle informatie om te worden overgebracht en bewaard op een verharde Integrity Server. Dit maakt gecentraliseerd beheer van gegevens, en vermijdt het probleem van het verlaten gegevens vermeld betreffende systeem een ​​klant. Gegevens op het systeem van een cliënt is kwetsbaar voor kwaadaardige wijziging of vernietiging.
• FTimes ondersteunt native client gestarte HTTP / HTTPS uploads / downloads. Dit elimineert de noodzaak grens apparaten zoals firewalls een bijzondere inkomende verbinding regels. Verder is er een goede kans dat de bestaande grens apparaten de benodigde uitgaande communicatie pad ondersteunen al want het is het zelfde als dat nodig is om het web te surfen.
• FTimes biedt een efficiënte reeks zoekmogelijkheid (aka graven modus). Dit is vooral handig bij onderzoeken wanneer de beoefenaar heeft een profiel van de belangrijkste woorden of byte strings die waarschijnlijk ergens bestaan ​​op het doelsysteem.
• FTimes ondersteunt optioneel apparaat bestand graafmachines (blok / karakter).

Uitgang
• FTimes 'is instelbaar op een per attribuut basis. Dit stelt gebruikers in staat om gegevens te ontwikkelen op een manier die het beste aansluit bij hun behoeften.
• FTimes optioneel produceert directory hashes. Dit is een belangrijk analyse voordeel in situaties waarin inhoud verandert zelden. Het voordeel is dat een hash effectief is de inhoud van alle mappen en bestanden in een bepaalde structuur.
• FTimes optioneel produceert symlink hashes.
• FTimes optioneel presteert bestand te typen via XMagic. Wanneer er honderden of duizenden onbekende hashes, is het moeilijk om te bepalen welke bestanden zijn gewijzigd als gevolg van een schadelijke handeling. In deze situaties kan type-informatie worden gebruikt om bestanden categoriseren en prioriteren van de volgorde waarin ze worden onderzocht.
• FTimes heeft een extreem snelle, afstembare vergelijken vermogen. Dit stelt de beoefenaar om snel te analyseren snapshots en bepalen verandering.

Wat is nieuw in deze release:

• De code werd opgeruimd en verfijnd als nodig
• Een aantal bugs verholpen.
• Deze release bevat bijgewerkte ondersteuning voor file haken en introduceert KL-EL-gebaseerde XMagic.
• Bijgevolg is de minimaal vereiste versie van libklel is rasied naar 1.1.0, die een bibliotheek versie van 2 heeft: 0: 1.
• File-systeem ondersteuning voor squashfs werd toegevoegd.