FTimes

FTimes est un outil de référentiels du système et la collecte de preuves. L'objectif premier de FTimes est de rassembler et / ou développer des informations sur les répertoires et fichiers spécifiés d'une manière propice à l'analyse d'intrusion.
FTimes est un outil léger dans le sens où il n'a pas besoin d'être «installé» sur un système donné de travailler sur ce système, il est assez petit pour tenir sur une seule disquette, et il ne fournit une interface de ligne de commande.
Conservation des documents de toute activité qui se produit pendant un instantané est important pour l'analyse d'intrusion et des preuves recevabilité. Pour cette raison, FTimes a été conçu pour enregistrer quatre types d'informations: les paramètres de configuration, des indicateurs de progrès, les mesures et les erreurs. Sortie produite par FTimes est délimité texte, et donc, est facilement assimilable par une grande variété d'outils existants.
FTimes met en œuvre essentiellement deux fonctions générales: fichier topographie et de recherche de chaîne. topographie de fichier est le processus d'attributs clés de la cartographie de répertoires et de fichiers sur un système de fichiers donné. String search est le processus de creuser à travers les répertoires et fichiers sur un système de fichiers donné tout en recherchant une séquence spécifique d'octets. Respectivement, ces capacités sont appelés mode carte et le mode de fouille.
FTimes prend en charge deux environnements d'exploitation: workbench et client-serveur. Dans l'environnement du plan de travail, l'opérateur utilise FTimes de faire des choses telles que examiner les preuves (par exemple, une image de disque ou des fichiers à partir d'un système compromis), analysent instantanés pour le changement, rechercher des fichiers qui ont des attributs spécifiques, de vérifier l'intégrité des fichiers, etc. . Dans l'environnement client-serveur, les changements de discussion de ce que l'opérateur peut faire localement à la façon dont l'opérateur peut efficacement surveiller, gérer et données instantanées globales pour de nombreux hôtes. Dans l'environnement client-serveur, l'objectif principal est de déplacer les données recueillies auprès de l'hôte à un système centralisé, connu comme un serveur Integrity, de façon sécurisée et authentifiée. Un serveur Integrity est un système durci qui a été configuré pour gérer FTimes GET, PING, et PUT demandes de HTTP /.
La répartition des FTimes contient un script appelé NPH-ftimes.cgi qui peut être utilisé en conjonction avec un serveur Web pour mettre en oeuvre une interface d'intégrité serveur public. Sujets plus profonds tels que la construction et la mécanique interne d'un serveur Integrity ne sont pas abordées ici

Caractéristiques :.

• FTimes est facile à utiliser et rapide! Le reste est pur jus ...
• FTimes a été écrit en C et porté sur de nombreux systèmes d'exploitation populaires tels que AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris, et Windows 98 / ME / NT / 2K / XP. FTimes ne nécessite pas de support d'exécution supplémentaire comme un interpréteur de script (par exemple, Perl) ou une machine virtuelle (par exemple, JVM).
• FTimes n'a pas besoin d'être installé sur la machine du client. Dans de nombreux cas, il peut être exécuté à partir d'une disquette ou d'un CDROM. Pour cette raison, FTimes peuvent être configurés de telle sorte qu'il est peu invasive pour le système cible. Ce est important lorsque vous essayez de recueillir des preuves d'une attaque sur un système en direct.
• FTimes a journalisation approfondie. Cela contribue à augmenter sa crédibilité et la recevabilité comme preuve parce que les informations du journal peut être utilisé pour déterminer le taux d'erreur connu ou potentiel de l'outil dans diverses conditions. FTimes enregistre quatre types d'informations: les paramètres de configuration, des indicateurs de progrès, les mesures et les erreurs
.
• FTimes détecte et code des caractères non-imprimables (par exemple, l'espace blanc, retours chariot, etc.) dans les noms de fichiers. Cela garantit que votre point de vue de la sortie ne est pas modifié artificiellement par les données que vous regardez. Le schéma URL de codage utilisée aussi permet de vous concentrer rapidement sur les noms de fichiers anormales.
• FTimes détecte et traite Alternate Data Streams (ADS) sur NT / 2K systèmes Windows / XP. Ceci est très utile dans les cas où l'auteur a Alternate Data Streams utilisées pour cacher des outils et des informations.

La sortie de
• FTimes est délimité ASCII, et donc, est propice à l'analyse. Cette sortie peut être assimilé en utilisant la technologie de base de données standard ainsi que d'un large éventail d'outils existants. Cela rend plus souple que les systèmes de bases de données propriétaires qui sont essentiellement opaque pour le praticien. En fin de compte, ce format donne de meilleurs résultats de l'analyse parce que le praticien est en mesure de manipuler des données librement, et les pairs peut vérifier indépendamment les résultats d'analyse. Encore une fois, ce qui contribue à renforcer sa crédibilité et la recevabilité comme preuve.
• FTimes peuvent être déployés en tant que solution d'entreprise avec toutes les informations étant transmises et conservées sur un serveur Integrity durci. Cela permet une gestion centralisée des données et évite le problème de laisser les données exposées sur le système d'un client. Les données stockées sur le système d'un client est vulnérable à la modification ou la destruction malveillante.
• FTimes supporte nativement client initiées HTTP / HTTPS ajouts / téléchargements. Ceci élimine le besoin pour les périphériques tels que les pare-feu limites d'avoir un spéciaux règles de connexions entrantes. En outre, il ya une bonne chance que les dispositifs de limites existantes soutiennent déjà le chemin de communications sortantes nécessaire parce que ce est le même que celui nécessaire pour naviguer sur le Web.
• FTimes fournit une capacité de recherche de chaîne efficace (aka mode de creuser). Ceci est particulièrement utile dans les enquêtes lorsque le praticien a un profil de mots clés ou des chaînes d'octets qui sont susceptibles d'exister quelque part sur le système cible.
• FTimes soutient facultativement fichier de périphérique creuser (bloc / caractère).

La sortie de
• FTimes est configurable sur une base par attribut. Cela permet aux utilisateurs de développer des données d'une manière qui est la mieux adaptée à leurs besoins.
• FTimes produit éventuellement hashs de répertoire. Ce est un avantage d'analyse importante dans les situations où le contenu change rarement. L'avantage est que l'un hachage représente effectivement le contenu de tous les répertoires et fichiers contenus dans un arbre donné.
• FTimes produit éventuellement hashes lien symbolique.
• FTimes effectue éventuellement tapant fichier via XMagic. Quand il ya des centaines ou des milliers de tables de hachage inconnus, il est difficile de déterminer quels fichiers peuvent avoir changé à la suite d'un acte de malveillance. Dans ces situations, les informations de type peut être utilisée pour classer les fichiers et de hiérarchiser l'ordre dans lequel ils sont examinés.
• FTimes a une extrêmement rapide, accordable comparer la capacité. Cela permet au praticien d'analyser rapidement des instantanés et de déterminer les changements.

Quoi de neuf dans cette version:

• Le code a été nettoyé et raffiné que nécessaire
• Plusieurs bugs ont été corrigés.

Repose-KL-EL
• Cette version inclut le support pour les fichiers à jour crochets et introduit XMagic.
• Par conséquent, la version minimale requise est de libklel rasied à 1.1.0, qui a une version de la bibliothèque de 2: 0: 1.
• support du système de fichiers pour SquashFS a été ajouté.