FTimes

FTimes es una herramienta de línea de base del sistema y la recopilación de pruebas. El propósito principal del FTimes es reunir y / o desarrollar información sobre los directorios y archivos especificados en el objeto de que el análisis de intrusiones.
FTimes es una herramienta ligera en el sentido de que no tiene por qué ser "instalado" en un sistema dado para trabajar en ese sistema, es lo suficientemente pequeño como para caber en un floppy, y sólo proporciona una interfaz de línea de comandos.
Preservar los registros de toda la actividad que se produce durante una instantánea es importante para el análisis de intrusiones y la admisibilidad de pruebas. Por esta razón, FTimes fue diseñado para registrar cuatro tipos de información: los ajustes de configuración, los indicadores de progreso, métricas y errores. Salida producida por FTimes está delimitada de texto, y por lo tanto, es fácilmente asimilable por una amplia variedad de herramientas existentes.
FTimes básicamente implementa dos funciones generales: topografía archivo y búsqueda de cadenas. Topografía del archivo es el proceso de asignación de atributos clave de los directorios y archivos en un sistema de archivos determinado. Cadena de búsqueda es el proceso de excavación a través de los directorios y archivos en un sistema de archivos dada en la búsqueda de una secuencia específica de bytes. Respectivamente, estas capacidades se conocen como modo de mapa y modo de excavación.
FTimes admite dos entornos operativos: banco de trabajo y cliente-servidor. En el entorno de la mesa de trabajo, el operador utiliza FTimes que hacer cosas tales como examinar las pruebas (por ejemplo, una imagen de disco o archivos de un sistema comprometido), analizan las instantáneas para el cambio, la búsqueda de los archivos que tienen los atributos específicos, verificar la integridad del archivo, etc. . En el entorno cliente-servidor, la atención se desplaza de lo que el operador puede hacer a nivel local a cómo el operador puede controlar de manera eficiente, gestionar, y datos de la instantánea agregados para muchos hosts. En el entorno cliente-servidor, el objetivo principal es mover los datos recogidos desde el host a un sistema centralizado, conocido como un servidor Integrity, de una manera segura y autenticada. Un servidor de integridad es un sistema endurecido que se ha configurado para manejar FTimes GET, PING, y PUT peticiones HTTP / S.
La distribución FTimes contiene un script llamado NPH-ftimes.cgi que puede ser utilizado en conjunción con un servidor Web para implementar una interfaz pública Integrity Server. Temas más profundos como la mecánica de construcción e internos de un servidor Integrity no se abordan aquí

Características :.

• FTimes es fácil de usar y rápido! El resto es pura salsa ...
• FTimes se ha escrito en C y portado a muchos sistemas operativos populares, tales como AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris y Windows 98 / ME / NT / 2K / XP. FTimes no requiere soporte de ejecución adicional, como un intérprete de scripts (por ejemplo, Perl) o una máquina virtual (por ejemplo, JVM).
• FTimes no necesita ser instalado en la máquina del cliente. En muchos casos se puede ejecutar desde un disquete o CD-ROM. Debido a esto, FTimes pueden ser configurados de tal manera que es mínimamente invasivo para el sistema de destino. Esto es importante cuando se trata de reunir pruebas de un ataque a un sistema vivo.
• FTimes tiene registro minucioso. Esto ayuda a aumentar su credibilidad y admisibilidad como prueba debido a que la información de registro puede utilizarse para determinar la tasa de error conocido o potencial de la herramienta en diversas condiciones. FTimes registra cuatro tipos de información: los ajustes de configuración, los indicadores de progreso, métricas y errores
.
• FTimes detecta y codifica los caracteres no imprimibles (por ejemplo, espacio en blanco, retornos de carro, etc.) en los nombres de archivo. Esto asegura que su visión de la salida no se alteró artificialmente por los datos que usted está viendo. El esquema de codificación URL utilizada también le ayuda a centrarse rápidamente en los nombres de archivo en anómalas.
• FTimes detecta y procesos alternativos Data Streams (ADS) cuando se ejecutan en 2K sistemas Windows NT / / XP. Esto es muy útil en los casos en que el autor ha utilizado Alternate Data Streams para ocultar las herramientas y la información.

Salida
• FTimes 'está delimitado ASCII, y por lo tanto, es propicio para el análisis. Esta salida puede ser asimilada mediante la tecnología de base de datos estándar, así como una amplia gama de herramientas existentes. Esto hace que sea más flexible que los esquemas de bases de datos de propiedad que son esencialmente opaco a la practicante. En última instancia, este formato permite obtener mejores resultados del análisis debido a que el practicante es capaz de manipular datos libremente, y los compañeros puede verificar de forma independiente los resultados del análisis. De nuevo, esto ayuda a fortalecer su credibilidad y admisibilidad como prueba.
• FTimes se pueden implementar como una solución empresarial con toda la información que se transmite a y preservada en un servidor Integrity endurecido. Esto permite la gestión centralizada de los datos, y evita el problema de dejar los datos expuestos en el sistema del cliente. Los datos almacenados en el sistema de un cliente es vulnerable a la modificación o destrucción maliciosa.
• FTimes soporta de forma nativa cliente iniciaron HTTP / HTTPS uploads / descargas. Esto elimina la necesidad de dispositivos de frontera, tales como firewalls de tener un régimen especial de conexión entrantes. Además, hay una buena probabilidad de que los dispositivos de contorno existentes ya son compatibles con la vía de comunicaciones salientes necesaria porque es la misma que necesita para navegar por la Web.
• FTimes proporciona una capacidad de búsqueda de cadenas eficientes (también conocido como modo de cavar). Esto es particularmente útil en las investigaciones cuando el practicante tiene un perfil de palabras claves o cadenas de bytes que pueden existir en alguna parte del sistema de destino.
• FTimes opcionalmente soporta archivo de dispositivo de excavación (bloque / personaje).

Salida
• FTimes 'es configurable en función de cada atributo. Esto permite a los usuarios desarrollar los datos de una manera que mejor se adapte a sus necesidades.
• FTimes produce opcionalmente hashes de directorios. Esta es una ventaja significativa análisis en situaciones donde rara vez contenido cambios. La ventaja es que uno de hash representa efectivamente el contenido de todos los directorios y archivos contenidos en un árbol determinado.
• FTimes produce opcionalmente hashes de enlace simbólico.
• FTimes realiza opcionalmente archivo mecanografiar vía XMagic. Cuando hay cientos o miles de hashes desconocidos, es difícil determinar qué archivos pueden haber cambiado como resultado de un acto malicioso. En estas situaciones, la información de tipo se puede utilizar para clasificar los archivos y priorizar el orden en el que se examinan.
• FTimes tiene un extremadamente rápido, sintonizable comparar capacidad. Esto permite al practicante a analizar rápidamente instantáneas y determinar los cambios.

¿Cuál es nuevo en esta versión:

• El código fue limpiado y refinado según sea necesario
• Varios errores han sido corregidos.
• Esta versión incluye soporte actualizado para los ganchos de archivos e introduce KL-EL-basa XMagic.
• En consecuencia, la versión mínima requerida de libklel ha sido rasied a 1.1.0, que tiene una versión de la biblioteca de 2: 0:. 1
• Se ha añadido soporte para el sistema de archivos SquashFS.