FTimes on järjestelmä baselining ja todisteiden keräämistä työkalu. FTimes ensisijainen tarkoitus on kerätä ja / tai kehittää tietoja hakemistot ja tiedostot edistävällä tavalla tunkeutumisen analyysi.
FTimes on kevyt työkalu siinä mielessä, että se ei tarvitse "asentaa" tietyllä järjestelmän työskennellä että järjestelmä, se on tarpeeksi pieni mahtuakseen yhdelle levykkeelle, ja se tarjoaa vain komentoriviltä.
Säilyttäminen kirjaa kaikki toiminta, joka tapahtuu snapshot on tärkeää tunkeutumisen analyysiä ja todisteiden hyväksyttävyyttä. Tästä syystä FTimes suunniteltiin kirjautua neljänlaisia tietoja: kokoonpanoon, edistymistä kuvaavat indikaattorit, mittarit, ja virheitä. Tuotos FTimes on rajattu tekstiä, ja siksi on helposti sulavaa erilaisia olemassa olevia välineitä.
FTimes periaatteessa toteuttaa kaksi yleistä ominaisuudet: tiedoston topografia ja merkkijonon haku. Tiedoston topografia on prosessi kartoitus avainominaisuuksista hakemistojen ja tiedostojen tietyllä tiedostojärjestelmä. String haku on prosessi kaivella hakemistoja ja tiedostoja tietyn tiedostojärjestelmän etsiessään tietyssä järjestyksessä tavuja. Vastaavasti näitä valmiuksia kutsutaan kartan tilassa ja kaivaa tilassa.
FTimes tukee kahta toimintaympäristöissä: työpisteeseen ja asiakas-palvelin. Vuonna Workbench ympäristössä, operaattori käyttää FTimes tehdä asioita kuten tutkia todisteita (esim levyn kuva tai tiedostoja vaarantunut järjestelmä), analysoida tuokiokuva muutos, etsiä tiedostoja, jotka ovat erityisiä ominaisuuksia, tarkista tiedoston eheys, ja niin edelleen . Vuonna asiakas-palvelin ympäristössä, painopiste siirtyy mitä käyttäjä voi tehdä paikallisesti, miten käyttäjä voi tehokkaasti valvoa, hallita, ja yhteenlaskettu snapshot tietoja monet isännät. Vuonna asiakas-palvelin ympäristössä, ensisijaisena tavoitteena on siirtää kerätyt tiedot isäntänä keskitetty järjestelmä, joka tunnetaan nimellä Integrity Server, turvallisessa ja todennettu muoti. Rehellisyys Server on karkaistu järjestelmä, joka on määritetty käsittelemään FTimes GET, PING, ja laittaa HTTP / S pyyntöjä.
FTimes jakelu sisältää script kutsutaan NPH-ftimes.cgi joita voidaan käyttää yhdessä Web-palvelin toteuttaa julkisen Integrity-palvelimen kautta. Syvempi aiheita kuten rakennus- ja sisäinen mekaniikka Integrity Server ei käsitellä tässä.
Ominaisuudet :
- FTimes on helppoa käyttää ja nopeasti! Loppu on puhdas kastike ...
- FTimes on kirjoitettu C ja monille monia suosittuja käyttöjärjestelmät kuten AIX, BSDI, FreeBSD, HP-UX, Linux, Solaris ja Windows 98 / ME / NT / 2K / XP. FTimes ei vaadi ylimääräisiä runtime tukea kuten käsikirjoituksen tulkki (esim Perl) tai Virtual Machine (esim JVM).
- FTimes ei tarvitse asentaa asiakkaan kone. Monissa tapauksissa se voidaan ajaa levykkeeltä tai CD. Tämän vuoksi, FTimes voidaan konfiguroida siten, että se on vähän invasiivisia kohdejärjestelmässä. Tämä on tärkeää, kun yrittää kerätä todisteita hyökkäyksen rjestelm.
- FTimes on perusteellinen hakkuut. Tämä auttaa lisäämään sen uskottavuutta ja hyväksyttävyyttä todisteena koska lokitietoja voidaan käyttää määrittämään tunnettu tai mahdollinen virhemarginaali työkalun eri olosuhteissa. FTimes lokit neljänlaisia tietoja: kokoonpanoon, edistymistä kuvaavat indikaattorit, mittarit, ja virheet.
- FTimes havaitsee ja koodaa ei-tulostettavia merkkejä (esim, valkoinen tila, rivinvaihdot jne) tiedostonimien. Näin varmistetaan, että näkymä lähtö ei keinotekoisesti muuttaa tietoja etsit. URL enkoodauskaavan käyttää myös auttaa sinua nopeasti keskitymme siihen epänormaali tiedostonimet.
- FTimes havaitsee ja käsittelee vaihtoehtoiset tietovirrat (ADS), kun käynnissä Windows NT / 2K / XP -järjestelmissä. Tämä on varsin hyödyllinen tapauksissa, joissa tekijä on käyttänyt Alternate Data Streams piilottaa työkaluja ja tietoa.
- FTimes 'tuotos ASCII, ja siksi on omiaan analyysi. Tämä lähtö voidaan rinnastaa tavallisilla tietokantateknologia sekä laajaan valikoimaan nykyisiä työkaluja. Tämä tekee siitä joustavampaa kuin oma tietokanta järjestelmät, jotka ovat olennaisesti läpinäkymätön harjoittaja. Lopulta tämä muoto tuottaa parempia analyysin tuloksia, koska lääkäri pystyy käsittelemään tietoa vapaasti, ja ikäisensä voi itsenäisesti tarkistaa analyysitulokset. Tämäkin auttaa vahvistamaan uskottavuutta ja hyväksyttävyyttä todisteena.
- FTimes voi käyttää tilanteessa kuin yritysratkaisuna kaikki tiedot lähetetään ja säilytetään karkaistu Integrity Server. Tämä mahdollistaa keskitetyn tietohallinnon ja vältetään ongelma jättää tiedot alttiina asiakkaan järjestelmään. Tiedot tallennetaan asiakkaan järjestelmä on alttiina haitalliseksi muuttaminen tai tuhoaminen.
- FTimes tukee natiivisti asiakas aloitti HTTP / HTTPS kuvat / downloads. Tämä poistaa tarpeen rajan laitteita kuten palomuureja on erityinen saapuvan yhteyden sääntöjä. Lisäksi siellä on hyvä mahdollisuus, että nykyiset raja-laitteet tukevat jo vaadittu lähtevän viestinnän polku, koska se on sama kuin tarvitaan selata Web.
- FTimes tarjoaa tehokkaan merkkijonon hakuominaisuudet (aka kaivaa tila). Tämä on erityisen hyödyllistä tutkinta, jos lääkäri on profiili avainsanoista tai tavu jouset, jotka ovat todennäköisesti olemassa jonnekin kohdejärjestelmässä.
- FTimes mahdollisesti tukee laitteen tiedosto kaivaminen (lohko / merkki).
- FTimes "lähtö on konfiguroitavissa per määrite perusteella. Näin käyttäjät voivat kehittää tietoja tavalla, joka sopii parhaiten heidän tarpeitaan.
- FTimes mahdollisesti tuottaa hakemistoon hash. Tämä on merkittävä analyysi etu tilanteissa, joissa sisältö muuttuu harvoin. Etuna on, että yksi hash tehokkaasti edustaa sisältöä kaikkien hakemistojen ja tiedostojen määrä tietyssä puu.
- FTimes mahdollisesti tuottaa symlink hash.
- FTimes mahdollisesti suorittaa tiedoston kirjoittamisen kautta XMagic. Kun on satoja tai tuhansia tuntemattomia hash, on vaikea määrittää, mitkä tiedostot ovat saattaneet muuttua seurauksena ilkeä teko. Näissä tilanteissa, tyyppi tiedot voidaan kategorisoida tiedostot ja priorisoida järjestyksessä, jossa ne tutkitaan.
- FTimes on erittäin nopea, viritettävä vertaa valmiudet. Tämä mahdollistaa lääkärin nopeasti analysoida valokuviin ja määrittää muutos.
Mitä uutta strong> tässä julkaisussa:
- koodi siivottiin hienostunut tarvittaessa.
- useita vikoja on korjattu.
- Tämä julkaisu sisältää päivitetyt tuki tiedostojen koukut ja esittelee KL-EL-pohjainen XMagic.
- Näin ollen vähimmäisvaatimus versio libklel on rasied on 1.1.0, joka on kirjaston versio 2: 0: 1.
- Tiedostojärjestelmän tuki SquashFS lisättiin.
Kommentteja ei löytynyt