FTimes

FTimes is 'n stelsel baselining en bewyse versameling hulpmiddel. FTimes se primêre doel is om te versamel en / of inligting oor bepaalde dopgehou en lêers op 'n wyse wat bevorderlik is vir inbraak analise ontwikkel.
FTimes is 'n liggewig instrument in die sin dat dit nie nodig het om te word "geïnstalleer" op 'n gegewe stelsel om te werk op die stelsel, is dit klein genoeg op 'n enkele floppy te pas, en dit bied slegs 'n command line interface.
Behoud rekords van alle aktiwiteite wat tydens 'n momentopname plaasvind, is belangrik vir inbraak analise en bewyse toelaatbaarheid. Om hierdie rede, is FTimes ontwerp vier tipes inligting aan te meld: konfigurasie-instellings, vordering aanwysers, statistieke, en foute. Uitset geproduseer deur FTimes is geskei teks, en dus is maklik geassimileer deur 'n wye verskeidenheid van bestaande instrumente.
FTimes implemente basies twee algemene vermoëns: lêer topografie en string soek. Lêer topografie is die proses van die kartering belangrike eienskappe van gidse en lêers op 'n gegewe lêer stelsel. String soek is die proses van grawe deur dopgehou en lêers op 'n gegewe lêer stelsel, terwyl op soek na 'n spesifieke volgorde van grepe. Onderskeidelik, is hierdie vermoëns verwys as kaart af en grawe af.
FTimes ondersteun twee bedryfstelsel omgewings: werkbank en kliënt-bediener. In die werkbank omgewing, die operateur gebruik FTimes dinge te doen soos ondersoek bewyse (bv 'n skyf beeld of lêers van 'n gedrang stelsel), ontleed foto vir 'n verandering, soek vir lêers wat spesifieke eienskappe, verifieer lêer integriteit, en so aan . In die kliënt-bediener omgewing, verskuif die fokus van wat die operateur plaaslik kan doen oor hoe die operateur doeltreffend kan monitor, te bestuur, en totale snapshot data vir baie die leërskare. In die kliënt-bediener omgewing, die primêre doel is om die versamelde data kan 'n gesentraliseerde stelsel, bekend as 'n integriteit Server te beweeg van die leër, in 'n veilige en gewaarmerk mode. 'N integriteit Server is 'n geharde stelsel wat ingestel te hanteer FTimes KRY, PING, en sit HTTP / S versoeke.
Die FTimes verspreiding bevat 'n script genoem nph-ftimes.cgi wat gebruik kan word in samewerking met 'n Web bediener 'n openbare Integriteit Server koppelvlak te implementeer. Dieper onderwerpe soos die bou en interne meganika van 'n integriteit Server is nie hier aangespreek

Eienskappe :.

• FTimes is maklik te gebruik en vinnig! Die res is suiwer sous ...
• FTimes het in C geskryf is en oorgedra na baie gewilde bedryfstelsels soos AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris, en Windows 98 / ME / NT / 2K / XP. FTimes vereis nie bykomende runtime ondersteuning soos 'n script tolk (bv Perl) of 'n virtuele masjien (bv JVM).
• FTimes hoef nie op die kliënt se masjien te word geïnstalleer. In baie gevalle is dit kan uitgevoer word vanaf 'n stiffie of CDROM. As gevolg van hierdie, kan FTimes so opgestel word dat dit minimaal indringende na die teiken stelsel. Dit is belangrik wanneer ek probeer om bewyse van 'n aanval op 'n lewendige sisteem in te samel.
• FTimes het deeglike meld. Dit help om sy geloofwaardigheid en toelaatbaarheid as bewys te verhoog omdat die log inligting kan gebruik word om die bekende of potensiële fout persentasie van die instrument onder verskillende toestande te bepaal. FTimes logs vier tipes inligting: konfigurasie-instellings, vordering aanwysers, statistieke, en foute
.
• FTimes ontdek en kodeer nie-printable karakters (bv wit ruimte, enter, ens) in lêername. Dit verseker dat jou siening van die uitset is nie kunsmatig verander deur die data wat jy is op soek na. Die URL encoding skema gebruik help jou ook om vinnig te fokus op onreëlmatige lêername.
• FTimes ontdek en verwerk Alternatiewe Data Streams (ADS) wanneer loop op Windows NT / 2K / XP stelsels. Dit is baie nuttig in gevalle waar die oortreder gebruik het Alternatiewe Data Streams gereedskap en inligting om weg te steek.
• FTimes 'uitset afgebaken ASCII, en dus bevorderlik is vir ontleding. Dit uitset kan geassimileer word met behulp van standaard databasis tegnologie sowel as 'n wye verskeidenheid van bestaande instrumente. Dit maak dit meer buigsaam as eiendom databasis skemas wat is in wese ondeursigtig aan die praktisyn. Uiteindelik is hierdie formaat lewer beter resultate van die analise, omdat die praktisyn in staat is om data te vrylik manipuleer, en maats kan onafhanklik analise resultate te verifieer. Weereens, dit help om sy geloofwaardigheid en toelaatbaarheid as bewyse. Te versterk
• FTimes kan ontplooi word as 'n onderneming oplossing met al die inligting wat oorgedra na en bewaar op 'n geharde Integriteit Server. Dit maak voorsiening vir gesentraliseerde bestuur van data, en vermy die probleem van die verlaat van data blootgestel aan 'n kliënt se stelsel. Data wat gestoor word op 'n kliënt se stelsel is kwesbaar vir kwaadwillige verandering of vernietiging.
• FTimes native ondersteun kliënt geïnisieer HTTP / HTTPS uploads / downloads. Dit skakel die behoefte vir grens toestelle soos firewalls 'n spesiale inkomende verband reëls te hê. Verder, daar is 'n goeie kans dat die bestaande grens toestelle reeds ondersteun die vereiste uitgaande kommunikasie pad, want dit is dieselfde as wat nodig is om die Web te blaai.
• FTimes bied 'n doeltreffende string search (aka grawe af). Dit is veral nuttig in ondersoeke wanneer die praktisyn 'n profiel van die belangrikste woorde of byte snare wat waarskynlik iewers op die teiken stelsel bestaan.
• FTimes ondersteun opsioneel toestel lêer grawe (blok / karakter).
• FTimes 'afvoer is konfigureerbare op 'n per kenmerk basis. Dit laat gebruikers data in 'n manier wat die beste by hul behoeftes te ontwikkel.
• FTimes produseer opsioneel gids allegaartjies. Dit is 'n beduidende analise voordeel in situasies waar inhoud selde verander. Die voordeel is dat een hash effektief die inhoud van alle dopgehou en lêers wat in 'n gegewe boom verteenwoordig.
• FTimes produseer opsioneel symlink allegaartjies.
• FTimes voer opsioneel lêer tik via XMagic. Wanneer daar is honderde of duisende onbekende allegaartjies, is dit moeilik om te bepaal watter lêers verander het as gevolg van 'n opsetlike daad. In hierdie situasies, kan tipe inligting wat gebruik word om lêers te kategoriseer en prioritiseer die volgorde waarin hulle word ondersoek.
• FTimes het 'n baie vinnige, verstelbare vergelyk vermoë. Dit stel die praktisyn foto vinnig analiseer en bepaal verandering.

Wat is nuut in hierdie release:

• Die kode is skoongemaak en verfynde as nodige
• Verskeie foute is vasgestel.
• Hierdie release sluit opgedateer ondersteuning vir lêer hakies en stel KL-EL-gebaseerde XMagic.
• Gevolglik is die minimum vereiste weergawe van libklel is rasied te 1.1.0, wat 'n biblioteek weergawe van 2: 0: 1.
• Lêer stelsel ondersteuning vir SquashFS bygevoeg is.