FTimes

FTimes adalah sistem baselining dan pengumpulan bukti alat. Tujuan utama FTimes adalah untuk mengumpulkan dan / atau mengembangkan informasi tentang direktori yang ditentukan dan file dengan cara kondusif untuk analisis intrusi.
FTimes adalah alat ringan dalam arti bahwa hal itu tidak perlu "dipasang" pada sistem tertentu untuk bekerja pada sistem itu, cukup kecil untuk muat pada disket tunggal, dan hanya menyediakan antarmuka baris perintah.
Melestarikan catatan semua aktivitas yang terjadi selama snapshot penting untuk analisis intrusi dan bukti diterimanya. Untuk alasan ini, FTimes dirancang untuk log empat jenis informasi: pengaturan konfigurasi, indikator kemajuan, metrik, dan kesalahan. Output yang dihasilkan oleh FTimes yang dipisahkan teks, dan karena itu, mudah diasimilasikan oleh berbagai alat yang ada.
FTimes pada dasarnya menerapkan dua kemampuan umum: File topografi dan string pencarian. File topografi adalah proses pemetaan atribut kunci dari direktori dan file pada sistem file yang diberikan. String pencarian adalah proses menggali melalui direktori dan file pada sistem file yang diberikan saat mencari urutan tertentu byte. Masing-masing, kemampuan ini disebut sebagai modus peta dan modus menggali.
FTimes mendukung dua lingkungan operasi: meja kerja dan client-server. Dalam lingkungan meja kerja, operator menggunakan FTimes untuk melakukan hal-hal seperti memeriksa bukti (misalnya, disk image atau file dari sistem dikompromikan), menganalisis foto-foto untuk perubahan, mencari file yang memiliki atribut tertentu, memverifikasi integritas berkas, dan sebagainya . Dalam lingkungan client-server, fokus bergeser dari apa yang operator dapat melakukan lokal bagaimana operator efisien dapat memantau, mengelola, dan data snapshot agregat untuk banyak host. Dalam lingkungan client-server, tujuan utama adalah untuk memindahkan data yang dikumpulkan dari host ke sistem terpusat, dikenal sebagai Integritas Server, dengan cara yang aman dan dikonfirmasi. Sebuah Integritas Server adalah sistem mengeras yang telah dikonfigurasi untuk menangani FTimes GET, PING, dan PUT HTTP / S permintaan.
Distribusi FTimes berisi script yang disebut nph-ftimes.cgi yang dapat digunakan dalam hubungannya dengan server Web untuk mengimplementasikan antarmuka Integritas Server publik. Topik lebih dalam seperti konstruksi internal dan mekanisme Integritas Server tidak dibahas di sini

Fitur :.

• FTimes mudah digunakan dan cepat! Sisanya adalah saus murni ...
• FTimes telah ditulis dalam C dan porting ke banyak OS populer seperti AIX, BSDi, FreeBSD, HP-UX, Linux, Solaris, dan Windows 98 / ME / NT / 2K / XP. FTimes tidak memerlukan dukungan runtime tambahan seperti juru script (misalnya, Perl) atau Virtual Machine (misalnya, JVM).
• FTimes tidak perlu diinstal di komputer klien. Dalam banyak kasus hal itu dapat dijalankan dari floppy atau CDROM. Karena itu, FTimes dapat dikonfigurasi sedemikian rupa sehingga minimal invasif ke sistem target. Hal ini penting ketika mencoba untuk mengumpulkan bukti serangan terhadap sistem hidup.
• FTimes memiliki logging menyeluruh. Hal ini membantu untuk meningkatkan kredibilitas dan diterimanya sebagai bukti karena informasi log dapat digunakan untuk menentukan tingkat kesalahan yang diketahui atau potensial alat dalam berbagai kondisi. FTimes log empat jenis informasi: pengaturan konfigurasi, indikator kemajuan, metrik, dan kesalahan
.
• FTimes mendeteksi dan mengkodekan karakter non-printable (misalnya, spasi, tombol kembali, dll) dalam nama file. Hal ini memastikan bahwa pandangan Anda dari output tidak artifisial diubah oleh data yang Anda cari di. Skema URL encoding digunakan juga membantu Anda dengan cepat fokus pada nama file anomali.
• FTimes mendeteksi dan memproses data Alternatif Streams (ADS) ketika berjalan pada Windows NT / 2K / sistem XP. Hal ini sangat berguna dalam kasus dimana pelaku telah menggunakan alternatif data stream untuk menyembunyikan alat dan informasi.

Output
• FTimes 'yang dibatasi ASCII, dan karena itu, kondusif untuk analisis. Output ini dapat berasimilasi dengan menggunakan teknologi database standar serta beragam alat yang ada. Hal ini membuat lebih fleksibel daripada skema database milik yang pada dasarnya buram untuk praktisi. Pada akhirnya, format ini menghasilkan hasil analisis yang lebih baik karena praktisi mampu memanipulasi data secara bebas, dan rekan-rekan bisa independen memverifikasi hasil analisis. Sekali lagi, ini membantu untuk memperkuat kredibilitas dan diterimanya sebagai bukti.
• FTimes dapat digunakan sebagai solusi enterprise dengan semua informasi yang ditransmisikan dan disimpan pada mengeras Integritas Server. Hal ini memungkinkan untuk manajemen terpusat data, dan menghindari masalah meninggalkan data terkena pada sistem klien. Data yang tersimpan pada sistem klien rentan terhadap modifikasi berbahaya atau kehancuran.
• FTimes native mendukung klien dimulai HTTP / HTTPS upload / download. Ini menghilangkan kebutuhan untuk perangkat batas seperti firewall memiliki aturan khusus koneksi inbound. Selain itu, ada kesempatan baik bahwa perangkat batas yang ada sudah mendukung jalur komunikasi outbound diperlukan karena itu adalah sama seperti yang diperlukan untuk browsing Web.
• FTimes menyediakan kemampuan string pencarian yang efisien (alias modus menggali). Hal ini sangat berguna dalam penyelidikan ketika praktisi memiliki profil kata-kata kunci atau string byte yang mungkin ada di suatu tempat pada sistem target.
• FTimes opsional mendukung file device menggali (block / karakter).

Output
• FTimes 'dikonfigurasi pada per atribut dasar. Hal ini memungkinkan pengguna untuk mengembangkan data dengan cara yang paling sesuai dengan kebutuhan mereka.
• FTimes opsional menghasilkan hash direktori. Ini adalah keuntungan analisis yang signifikan dalam situasi di mana konten jarang perubahan. Keuntungannya adalah bahwa salah satu hash secara efektif mewakili isi dari semua direktori dan file yang terdapat di pohon tertentu.
• FTimes opsional menghasilkan hash symlink.
• FTimes opsional melakukan berkas mengetik melalui XMagic. Ketika ada ratusan atau ribuan hash diketahui, sulit untuk menentukan file yang mungkin telah berubah sebagai akibat dari tindakan jahat. Dalam situasi ini, jenis informasi dapat digunakan untuk mengkategorikan file dan memprioritaskan urutan di mana mereka diperiksa.
• FTimes memiliki sangat cepat, merdu membandingkan kemampuan. Hal ini memungkinkan praktisi untuk dengan cepat menganalisa foto dan menentukan perubahan.

Apa yang baru dalam rilis ini:

• Kode dibersihkan dan bila perlu disempurnakan
• Beberapa bug telah diperbaiki.
• Rilis ini termasuk dukungan diperbarui file kait dan memperkenalkan KL-EL berbasis XMagic.
• Akibatnya, versi yang diperlukan minimal libklel telah rasied ke 1.1.0, yang memiliki versi perpustakaan 2: 0. 1
• dukungan sistem file untuk SquashFS ditambahkan.