FTimes

FTimes是一個系統基線取證工具。 FTimes的主要目的是收集和/或開發有關有利於入侵分析的方式指定的目錄和文件的信息。
FTimes是在某種意義上說，它並不需要被“安裝”在給定的系統上工作，在該系統上的輕量級工具，它是小到足以在單一的軟盤，而它僅提供一個命令行界面。
保存快照過程中發生的所有活動的記錄是入侵分析和證據的可採重要。出於這個原因，FTimes被設計來登錄四種類型的信息：配置設置，進度指示器，度量和誤差。輸出由FTimes產生被分隔的文本，因此，很容易通過多種現有工具同化。
FTimes基本上實現了兩個一般功能：文件的地形和字符串搜索。文件地形是對給定文件系統的目錄和文件的映射關鍵屬性的過程。字符串搜索是通過目錄和文件上挖一個給定的文件系統，同時尋找字節的特定序列的過程中。分別，這些功能被稱為地圖模式和挖模式。
FTimes支持兩種操作環境：工作台和客戶端服務器。在工作​​台的環境中，操作員使用FTimes做的事情，如審查證據（例如，從感染的系統的磁盤映像或文件），分析變更快照，搜索具有特定屬性的文件，確認文件的完整性，等等。在客戶端 - 服務器環境，重點轉移從什麼操作可以在本地做如何操作人員可以有效地監控，管理和匯總快照數據用於多台主機。在客戶端 - 服務器環境中，主要目標是從主機移動收集的數據，以一個集中的系統，被稱為完整性服務器，在一個安全的和驗證的方式。一個完整性服務器是已配置為處理FTimes GET，PING和PUT HTTP / S請求的硬化體系。
該FTimes分佈包含一個名為NPH-ftimes.cgi可結合使用Web服務器來實現公共Integrity服務器接口腳本。更深層次的話題如Integrity服務器的建設和內部機制都沒有在這裡討論

特點：

• 在FTimes容易使用快！剩下的就是純肉汁...
• 在FTimes已經用C語言編寫，並移植到許多流行的操作系統如AIX，BSDI，FreeBSD下，HP-UX，Linux和Solaris和Windows 98 / ME / NT / 2K / XP。 FTimes不需要額外的運行時支持，如腳本解釋器（如Perl的）或虛擬機（如JVM）。
• FTimes不需要在客戶端機器上的安裝。在許多情況下，它可以從軟盤或CD-ROM運行。正因為如此，FTimes可以被構造成使得它是微創到目標系統。當試圖收集實時系統的攻擊的證據，這是非常重要的。
• 在FTimes有透徹的記錄。這有助於提高其可信性和可受理作為證據，因為日誌信息可以被用來確定在各種條件下該工具的已知或潛在的錯誤率。 FTimes記錄四種類型的信息：配置設置，進度指標，指標和錯誤
。
• 在FTimes檢測和編碼非打印字符（例如，空格，回車等）的文件名。這可確保輸出的觀點並沒有人為你正在尋找的數據改變。還使用了URL編碼方案可以幫助您快速聚焦在異常的文件名。
• 在FTimes檢測和處理在Windows NT / 2K / XP系統上運行時，備用數據流（ADS）。這是在行為人使用了備用數據流來隱藏工具和信息的情況下非常有用。
• 在FTimes“輸出分隔ASCII，因此，有利於分析。這個輸出可以使用標準數據庫技術以及現有工具各種各樣被同化。這使得它比專有數據庫方案，它們基本上是不透明的從業者更加靈活。最終，這種格式產生更好的分析結果，因為醫生能夠自由操作數據，和對等體可獨立地驗證分析結果。同樣，這有助於增強其可信性和可受理的證據。
• 在FTimes可以與所有的信息的企業解決方案傳輸和保存硬化Integrity服務器上進行部署。這允許數據的集中管理，並避免留下暴露於一個客戶端的系統中的數據的問題。存儲在客戶端系統的數據易受惡意修改或破壞。
• 在FTimes原生支持客戶端發起HTTP / HTTPS的上傳/下載。這消除了對邊界設備如防火牆具有特殊入站連接的規則。此外，有一個很好的機會，現有的邊界設備已經支持所需的出站通信路徑，因為它是作為一個需要瀏覽網頁一樣。
• 在FTimes提供了一個高效的字符串搜索功能（又名挖模式）。這是在當醫生具有關鍵字或字節的字符串有可能在目標系統上的某處存在一個輪廓調查特別有用。
• 在FTimes可選支持設備文件挖掘（塊/字符）。
• 在FTimes'輸出是每個屬性的基礎上進行配置。這使用戶能夠開發數據的方式，是最適合他們的需求。
• 在FTimes選擇生成目錄哈希值。這是一個顯著分析優勢的情況下的含量很少改變。它的優點是，一個散列有效地代表包含在一個給定樹中的所有目錄和文件的內容。
• 在FTimes選擇生成符號鏈接哈希值。
• 在FTimes可選擇通過XMagic執行文件打字。當有數百未知散列或數千，所以很難確定哪些文件可能已經改變為惡意行為的結果。在這些情況下，類型信息可以被用來進行分類的文件並優先在其中它們被檢查的順序。
• 在FTimes具有極快的，可調的比較能力。這使醫生能夠快速分析快照和確定的變化。

什麼是此版本中的新：

• 在對代碼進行清理和精製必要
• 在一些錯誤已得到修復。
• 在此版本包括文件掛鉤的更新支持，並介紹了KL-EL型XMagic。
• 因此，libklel的最低版本已經rasied到1.1.0，其中有2庫版本：0：1。
• 在對的squashfs文件系統支持加入。