FTimes

FTimes är ett system baselining och bevis samling verktyg. FTimes s främsta syfte är att samla in och / eller utveckla information om angivna kataloger och filer på ett sätt som främjar intrångsanalys.
FTimes är ett lätt verktyg i den meningen att den inte behöver vara "installeras" på ett givet system att arbeta på det systemet, är det tillräckligt liten för att få plats på en diskett, och det ger bara ett kommandoradsgränssnitt.
Bevara register över all aktivitet som sker under en ögonblicksbild är viktig för intrångsanalys och bevis tillåtlighet. Av denna anledning var FTimes utformade att logga fyra typer av information: konfigurationsinställningar, framstegsindikatorer, nyckeltal, och fel. Utgång producerad av FTimes avgränsas text, och därför är lätt assimileras av en mängd olika befintliga verktyg.
FTimes genomför i princip två allmänna kapacitet: file topografi och stråk sökning. Arkiv topografi är processen för kartläggning nyckelattribut kataloger och filer på ett givet filsystem. String ökning är processen att gräva igenom kataloger och filer på ett givet filsystem samtidigt söker en specifik sekvens av bytes. Respektive är dessa funktioner kallas kartläge och gräva läge.
FTimes stöder två miljöer: arbetsbänk och klient-server. I arbetsbänken miljö, använder operatören FTimes att göra saker som att undersöka bevis (t.ex. en skivavbild eller filer från ett äventyras systemet), analysera snapshots för förändring, söka efter filer som har specifika attribut, verifiera filintegritet, och så vidare . I klient-servermiljö, skiftar fokus från det som operatören kan göra lokalt för hur föraren effektivt kan övervaka, hantera och aggregerade snapshot data för många värdar. I klient-servermiljö, är det primära målet att flytta insamlade data från värddatorn till ett centraliserat system, känd som en Integrity Server på ett säkert och autentiserad mode. En Integrity Server är en härdad system som har konfigurerats för att hantera FTimes GET, PING, och PUT HTTP / S önskemål.
Den FTimes distributionen innehåller ett skript som kallas NPH-ftimes.cgi som kan användas tillsammans med en webbserver för att genomföra ett offentligt Integrity Server interface. Djupare ämnen som bygg- och interna mekanik en Integrity Server behandlas inte här

Funktioner :.

• FTimes är lätt att använda och snabbt! Resten är ren gravy ...
• FTimes har skrivits i C och portas till många populära operativsystem såsom AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris och Windows 98 / ME / NT / 2K / XP. FTimes kräver ingen ytterligare runtime stöd såsom ett manus tolk (t.ex. Perl) eller en Virtual Machine (t.ex. JVM).
• FTimes behöver inte installeras på kundens dator. I många fall kan det köras från en diskett eller cd-rom. På grund av detta, kan FTimes konfigureras så att det är minimalt invasiv till målsystemet. Detta är viktigt när man försöker samla in bevis för en attack på ett live-system.
• FTimes har grundlig loggning. Detta bidrar till att öka dess trovärdighet och godtagbar som bevis eftersom loggen information kan användas för att bestämma den kända eller potentiella felfrekvensen av verktyget under olika betingelser. FTimes loggar fyra typer av information: konfigurationsinställningar, framstegsindikatorer, nyckeltal, och fel
.
• FTimes upptäcker och kodar icke utskrivbara tecken (t.ex. vit utrymme, radbrytningar, etc.) i filnamn. Detta säkerställer att din syn på produktionen inte på konstgjord väg förändras av de data som du tittar på. URL kodningsschema används också hjälper dig att snabbt fokusera på anomala filnamn.
• FTimes upptäcker och bearbetar Alternate Data Streams (ADS) när som körs på Windows NT / 2K / XP-system. Detta är mycket användbart i fall där gärningsmannen har använt Alternate Data Streams att dölja verktyg och information.
• FTimes 'utgång avgränsas ASCII, och därför bidrar till analysen. Denna utgång kan likställas med standard databasteknik samt ett brett utbud av befintliga verktyg. Detta gör det mer flexibelt än proprietära databasscheman som är väsentligt ogenomskinlig för utövaren. Ytterst ger detta format bättre resultat analys eftersom utövaren kan manipulera data fritt, och kamrater kan verifiera analysresultat. Återigen, detta hjälper till att stärka sin trovärdighet och giltighet som bevis.
• FTimes kan användas som en företagslösning med all information som överförs till och bevaras på ett härdat Integrity-server. Detta möjliggör centraliserad hantering av data, och undviker problemet med att lämna uppgifter som exponeras på en klient system. Data som lagras på en kunds system sårbart för skadlig modifiering eller förstörelse.
• FTimes inbyggt stöd klienten initieras HTTP / HTTPS uppladdningar / nedladdningar. Detta eliminerar behovet av rand enheter såsom brandväggar för att ha en speciell inkommande anslutningsregler. Dessutom finns det en god chans att befintliga gräns enheter redan stödjer krävs utgående kommunikationsvägen eftersom det är samma som behövs för att surfa på webben.
• FTimes ger en effektiv sträng sökfunktion (aka gräva läge). Detta är särskilt användbart i utredningar när utövaren har en profil av nyckelord eller byte strängar som sannolikt existerar någonstans på målsystemet.
• FTimes eventuellt stöder enhetsfil gräva (block / tecken).
• FTimes "output är konfigurerbar på en per attribut basis. Detta gör att användare kan ta fram uppgifter på ett sätt som är bäst lämpade för deras behov.
• FTimes eventuellt producerar katalog hashar. Detta är en betydande analys fördel i situationer där innehåll sällan ändrar. Fördelen är att en hash representerar effektivt innehållet i alla kataloger och filer som finns i ett visst träd.
• FTimes eventuellt producerar symboliska länkar hashar.
• FTimes eventuellt utför fil typning via XMagic. När det finns hundratals eller tusentals okända hashar är det svårt att avgöra vilka filer kan ha ändrats till följd av en skadlig handling. I dessa situationer, kan typ information användas för att kategorisera filer och prioritera ordningen i vilken de undersöks.
• FTimes har en extremt snabb, avstämbara jämföra kapacitet. Detta gör det möjligt för utövaren att snabbt analysera snapshots och bestämma förändringen.

Vad är nytt i den här versionen:

• Koden var rensas upp och förfinas efter behov
• Flera buggar har åtgärdats.
• omfattar här versionen uppdaterat stöd för fil- krokar och introducerar KL-EL-baserade XMagic.
• Därför krävs minst version av libklel har rasied till 1.1.0, som har ett bibliotek version 2: 0:. 1
• Fil systemstöd för SquashFS sattes.