FTimes

Tela Software:
FTimes
Detalhes de Software:
Versão: 3.10.0
Data de upload: 20 Feb 15
Licença: Livre
Popularidade: 70

Rating: 1.5/5 (Total Votes: 2)

FTimes é uma ferramenta de linha de base do sistema e coleta de provas. O propósito primordial da FTimes é reunir e / ou desenvolver informações sobre diretórios especificados e arquivos de maneira favorável à análise de intrusão.
FTimes é uma ferramenta leve no sentido de que ele não precisa de ser "instalado" em um determinado sistema para trabalhar nesse sistema, é pequeno o suficiente para caber em um único disco, e fornece apenas uma interface de linha de comando.
Preservar os registros de toda a atividade que ocorre durante um instantâneo é importante para a análise de intrusão e provas admissibilidade. Por esta razão, FTimes foi projetado para registrar quatro tipos de informações: as definições de configuração, indicadores de progresso, métricas e erros. Saída produzida pelo FTimes é delimitado texto, e portanto, é facilmente assimilado por uma ampla variedade de ferramentas existentes.
FTimes basicamente implementa duas capacidades gerais: arquivo de topografia e de busca string. Topografia do arquivo é o processo de atributos-chave de mapeamento de diretórios e arquivos em um determinado sistema de arquivos. Cadeia de pesquisa é o processo de cavar através de diretórios e arquivos em um determinado sistema de arquivos ao olhar para uma seqüência específica de bytes. Respectivamente, esses recursos são referidos como modo de mapa e modo de escavação.
FTimes suporta dois ambientes operacionais: Bancada e cliente-servidor. No ambiente de bancada, o operador usa FTimes de fazer as coisas, tais como examinar as provas (por exemplo, uma imagem de disco ou arquivos a partir de um sistema comprometido), analisar instantâneos para a mudança, procure por arquivos que tenham atributos específicos, verificar a integridade de arquivos, e assim por diante . No ambiente cliente-servidor, o foco muda do que o operador pode fazer localmente para a forma como o operador pode monitorar de forma eficiente, gerenciar e dados do instantâneo agregados para muitos hosts. No ambiente cliente-servidor, o principal objetivo é mover os dados coletados a partir do host de um sistema centralizado, conhecido como um Integrity Server, de uma forma segura e autenticada. Um Integrity Server é um sistema endurecido que foi configurado para lidar com FTimes GET, PING, e PUT HTTP / S.
A distribuição FTimes contém um script chamado NPH-ftimes.cgi que pode ser usado em conjunto com um servidor da Web para implementar uma interface pública Integridade Server. Temas mais profundos, como a construção e internos mecânica de um Integrity Server não são abordados aqui

Características :.

  • FTimes é fácil de usar e rápido! O resto é puro molho ...
  • FTimes foi escrito em C e portado para diversos sistemas operacionais populares, como AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris e Windows 98 / ME / NT / 2K / XP. Não FTimes não precisa de suporte de tempo de execução adicional, como um interpretador de script (por exemplo, Perl) ou uma máquina virtual (por exemplo, JVM).
  • FTimes não precisa ser instalado na máquina do cliente. Em muitos casos, ele pode ser executado a partir de um disquete ou CD-ROM. Devido a isso, FTimes pode ser configurado de tal modo que é minimamente invasivo para o sistema de destino. Isso é importante quando se tenta levantar evidências de um ataque a um sistema ao vivo.
  • FTimes tem o log completo. Isso ajuda a aumentar a sua credibilidade e admissibilidade como meio de prova, pois as informações de log pode ser usado para determinar a taxa de erro conhecido ou potencial da ferramenta sob várias condições. FTimes registra quatro tipos de informações: as definições de configuração, indicadores de progresso, métricas e erros
  • .
  • FTimes detecta e codifica os caracteres não imprimíveis (por exemplo, espaço em branco, retornos de carro, etc.) em nomes de arquivos. Isso garante que a sua visão da saída não é artificialmente alterado por os dados que você está olhando. O esquema de codificação URL usado também ajuda você a se concentrar rapidamente em nomes de arquivos anômalas.
  • FTimes detecta e processa fluxos de dados alternativos (ADS), quando rodando em sistemas / 2K / XP Windows NT. Isto é bastante útil nos casos em que o autor usou suplentes Fluxos de Dados para esconder ferramentas e informações.

  • Output
  • 'FTimes é delimitado ASCII, e, portanto, é propício para análise. Esta saída pode ser assimilado usando a tecnologia de banco de dados padrão, bem como uma grande variedade de ferramentas existentes. Isto faz com que seja mais flexível do que os sistemas de bases de dados proprietárias, que são essencialmente opaca para o praticante. Em última análise, este formato produz melhores resultados de análise porque o médico é capaz de manipular dados livremente, e pares podem verificar de forma independente os resultados da análise. Mais uma vez, o que ajuda a reforçar a sua credibilidade e admissibilidade como meio de prova.
  • FTimes pode ser implantado como uma solução da empresa com todas as informações que está sendo transmitida e preservada em um servidor Integrity endurecido. Isso permite o gerenciamento centralizado de dados, e evita o problema de deixar os dados expostos no sistema de um cliente. Os dados armazenados no sistema de um cliente é vulnerável a modificações mal-intencionado ou destruição.
  • FTimes nativamente suporta o cliente iniciado HTTP / HTTPS uploads / downloads. Isso elimina a necessidade de dispositivos de fronteira, como firewalls de ter um regime especial de conexão de entrada. Além disso, há uma boa chance de que os dispositivos de fronteira existentes já suportam o caminho comunicações de saída necessária, porque é o mesmo que é indispensável para navegar na Web.
  • FTimes fornece uma capacidade de busca seqüência eficiente (aka modo de cavar). Isso é particularmente útil em investigações quando o praticante tem um perfil de palavras-chave ou cadeias de bytes que são susceptíveis de existir em algum lugar no sistema de destino.
  • FTimes opcionalmente suporta arquivo de dispositivo de escavação (bloco / personagem).

  • Output
  • 'FTimes é configurável em uma base por atributo. Isso permite que os usuários desenvolvam dados de uma maneira que é mais adequado às suas necessidades.
  • FTimes produz opcionalmente hashes de diretório. Esta é uma vantagem significativa análise em situações em que o conteúdo raramente muda. A vantagem é que um de hash representa efetivamente o conteúdo de todos os diretórios e arquivos contidos em uma determinada árvore.
  • FTimes produz opcionalmente hashes de links simbólicos.
  • FTimes opcionalmente executa arquivo digitação via XMagic. Quando há centenas ou milhares de hashes desconhecidas, é difícil determinar quais arquivos podem ter mudado como resultado de um ato malicioso. Nessas situações, informações de tipo pode ser usado para categorizar os arquivos e priorizar a ordem em que são examinados.
  • FTimes tem um extremamente rápido, sintonizável comparar a capacidade. Isso permite que o praticante a analisar rapidamente instantâneos e determinar a mudança.

O que é novo nesta versão:

  • O código foi limpo e refinado, se necessário
  • Vários bugs foram corrigidos.
  • Esta versão inclui suporte atualizado para ganchos de arquivo e introduz KL-EL baseada em XMagic.
  • Por conseguinte, a versão mínima necessária de libklel foi rasied a 1.1.0, que tem uma versão da biblioteca de 2: 0: 1.
  • foi adicionado suporte ao sistema de arquivos para SquashFS.

Programas semelhantes

Comentário para FTimes

Comentários não encontrado
Adicionar comentário
Ligue imagens!