FTimesシステムベースラインと証拠収集ツールです。 FTimesの主な目的は、収集、および/または侵入分析に資する方法で指定されたディレクトリとファイルに関する情報を開発することである。
FTimesは、それがそのシステム上で動作するように、特定のシステムの「インストール」する必要はありません、それは、単一のフロッピーに収まるほど小さく、それが唯一のコマンドライン·インタフェースを提供するという意味で軽量なツールです。
スナップショット中に発生するすべての活動の記録を保持すると、侵入分析と証拠の証拠能力のために重要である。構成設定、進捗インジケータ、メトリック、およびエラー:このような理由から、FTimesは4種類の情報をログに記録するように設計されました。 FTimesによって生成される出力は、テキストを区切られているので、容易に既存のツールの様々な同化される。
ファイル地形と文字列検索:FTimesは基本的に2つの一般的な機能を実装しています。ファイルの地形は、指定されたファイルシステム上のディレクトリとファイルのマッピングキー属性のプロセスです。文字列の検索は、バイトの特定のシーケンスを探しながら、与えられたファイルシステム上のディレクトリとファイルを掘り起こすのプロセスです。それぞれ、これらの機能は、マップモードと掘削モードと呼ばれる。
ワークベンチとクライアント - サーバ:FTimes 2つの動作環境をサポートします。 Workbench環境では、オペレータは、そのようなので、上の証拠調べ(例えば、感染したシステムからディスクイメージまたはファイル)は、変更のためのスナップショットを分析し、特定の属性を持つファイルを検索し、ファイルの整合性を確認し、のようなものを行うにFTimesを使用しています。クライアント - サーバ環境では、オペレータは、オペレータが効率的に管理、監視することができますどのように局部的に何ができるかからフォーカスシフト、および多数のホストの集計スナップショットデータ。クライアント - サーバ環境では、主な目的は、安全で認証された様式で、Integrityサーバとして知られている集中システム、ホストから収集したデータを移動させることである。 Integrityサーバは、FTimesをGET処理するように設定されている硬化システムであり、PING、およびHTTP / Sリクエストを置く。
FTimes分布は公共Integrityサーバ·インタフェースを実装するために、Webサーバーと組み合わせて使用することができるNPH-ftimes.cgiというスクリプトが含まれています。そのようなIntegrityサーバの構築と内部力学はここで扱われていないなどのより深いトピック
の特長の:ます。
- FTimes簡単です使用すると高速に!残りは純粋な肉汁...
- FTimesは、Cで書かれており、そのようなAIX、BSDiのはFreeBSD、HP-UX、Linux、Solaris、およびWindowsの98 / ME / NT / 2K / XPなどの多くの一般的なOSに移植されています。 FTimesは、そのようなスクリプトインタプリタ(例えば、Perlの)または仮想マシン(例えば、JVM)などの追加のランタイムサポートを必要としませんします。
- FTimesは、クライアントのマシンにインストールする必要はありません。多くの場合、フロッピーやCD-ROMから実行することができます。このため、FTimesは、ターゲットシステムに低侵襲性であるように構成することができる。ライブシステムへの攻撃の証拠を収集しようとしたとき、これは重要です。
- FTimes徹底したログを持っています。このログ情報は、様々な条件下での工具の既知のまたは潜在的な誤り率を決定するために使用することができるので、証拠としての信頼性と許容性を増加させることに貢献する。 FTimesログ情報の4つのタイプ:構成設定、進捗インジケータ、メトリック、およびエラーをします。
- FTimesはファイル名に印刷不可能な文字(例えば、ホワイトスペース、キャリッジリターンなど)を検出して符号化する。これは、出力のビューを人工的にあなたが見ているデータによって変更されないことを保証します。また、使用するURL符号化方式を使用すると、すぐに異常なファイル名に焦点を当てるのに役立ちます。
- FTimesが検出され、処理する代替データストリーム(ADS)は、Windows NT / 2K / XPシステム上で実行されている。これは加害者は、ツールと情報を隠すために代替データストリームを使用していますケースで非常に有用です。
- FTimes」出力はASCIIを区切り、そのため、分析に資するです。この出力は、標準的なデータベース技術だけでなく、既存のツールの広い配列を使用して同化することができます。これは本質的に開業医に対して不透明な独自のデータベーススキームよりそれがより柔軟になります。施術者が自由にデータを操作することができるので、最終的に、このフォーマットは、より良好な分析結果が得られると、ピアは、独立して分析結果を確認することができる。繰り返しますが、これは証拠としての信頼性と許容性を強化するのに役立ちます。
- FTimesは、すべての情報がに送信され、硬化Integrityサーバ上に保存されているとのエンタープライズ·ソリューションとして展開することができます。これは、データの集中管理を可能にし、クライアントのシステムに公開されたデータを残すの問題を回避する。クライアントのシステムに格納されたデータは、悪質な改変または破壊の脆弱性が存在します。
- FTimesネイティブHTTP / HTTPSアップロード/ダウンロード開始したクライアントをサポートしています。これは、このような特殊なインバウンド接続ルールを持っているファイアウォールなどの境界デバイスが不要になります。それはそれがWebを閲覧するために必要なのと同じであるため、また、既存の境界デバイスは既に必要なアウトバウンド通信パスをサポートしている可能性があるとします。
- FTimes効率的な文字列検索機能を(別名モードを掘る)を提供します。これは、施術者がキーワードまたはターゲット·システム上のどこかに存在する可能性があるバイト列のプロフィールを有する研究において特に有用であります。
- FTimesは、必要に応じて(ブロック/文字)を掘りデバイスファイルをサポートしています。
- FTimes」出力は、属性ごとに設定可能です。これにより、ユーザーは自分のニーズに最も適しだ方法でデータを開発することができます。
- FTimesは、必要に応じて、ディレクトリハッシュを生成します。これは、コンテンツはほとんど変化しない状況での重要な分析の利点である。利点は、1ハッシュを効果的に与えられたツリーに含まれるすべてのディレクトリとファイルの内容を表していることである。
- FTimesは、必要に応じてシンボリックリンクハッシュを生成します。
- FTimesは、必要に応じてXMagic経由でファイルタイピングを行います。未知のハッシュの数百または数千がある場合には、悪意のある行為の結果として変更された可能性があるファイルを決定することは困難である。このような状況では、タイプ情報はファイルを分類し、それらが検査される順番に優先順位を付けるために使用することができます。
- FTimes非常に速い、チューナブルは能力を比較している。これはすぐにスナップショットを分析し、変化を決定するための開業医が可能になります。
のこのリリースではの新機能です。必要に応じてコードがクリーンアップさと洗練された
- いくつかのバグが修正されています。
- このリリースには、ファイルのフック用の更新さサポートが含まれており、KL-ELベースのXMagicを紹介します。
- は結果的に、libklelの最低限必要なバージョンは2のライブラリのバージョンを持っている、1.1.0にrasiedされました
- SquashFSのためのファイルシステムのサポートが追加されました。
0::1
コメントが見つかりません