FTimes

FTimes是一个系统基线取证工具。 FTimes的主要目的是收集和/或开发有关有利于入侵分析的方式指定的目录和文件的信息。
FTimes是在某种意义上说，它并不需要被“安装”在给定的系统上工作，在该系统上的轻量级工具，它是小到足以在单一的软盘，而它仅提供一个命令行界面。
保存快照过程中发生的所有活动的记录是入侵分析和证据的可采重要。出于这个原因，FTimes被设计来登录四种类型的信息：配置设置，进度指示器，度量和误差。输出由FTimes产生被分隔的文本，因此，很容易通过多种现有工具同化。
FTimes基本上实现了两个一般功能：文件的地形和字符串搜索。文件地形是对给定文件系统的目录和文件的映射关键属性的过程。字符串搜索是通过目录和文件上挖一个给定的文件系统，同时寻找字节的特定序列的过程中。分别，这些功能被称为地图模式和挖模式。
FTimes支持两种操作环境：工作台和客户端服务器。在工作​​台的环境中，操作员使用FTimes做的事情，如审查证据（例如，从感染的系统的磁盘映像或文件），分析变更快照，搜索具有特定属性的文件，确认文件的完整性，等等。在客户端 - 服务器环境，重点转移从什么操作可以在本地做如何操作人员可以有效地监控，管理和汇总快照数据用于多台主机。在客户端 - 服务器环境中，主要目标是从主机移动收集的数据，以一个集中的系统，被称为完整性服务器，在一个安全的和验证的方式。一个完整性服务器是已配置为处理FTimes GET，PING和PUT HTTP / S请求的硬化体系。
该FTimes分布包含一个名为NPH-ftimes.cgi可结合使用Web服务器来实现公共Integrity服务器接口脚本。更深层次的话题如Integrity服务器的建设和内部机制都没有在这里讨论

特点：

• 在FTimes容易使用快！剩下的就是纯肉汁...
• 在FTimes已经用C语言编写，并移植到许多流行的操作系统如AIX，BSDI，FreeBSD下，HP-UX，Linux和Solaris和Windows 98 / ME / NT / 2K / XP。 FTimes不需要额外的运行时支持，如脚本解释器（如Perl的）或虚拟机（如JVM）。
• FTimes不需要在客户端机器上的安装。在许多情况下，它可以从软盘或CD-ROM运行。正因为如此，FTimes可以被构造成使得它是微创到目标系统。当试图收集实时系统的攻击的证据，这是非常重要的。
• 在FTimes有透彻的记录。这有助于提高其可信性和可受理作为证据，因为日志信息可以被用来确定在各种条件下该工具的已知或潜在的错误率。 FTimes记录四种类型的信息：配置设置，进度指标，指标和错误
。
• 在FTimes检测和编码非打印字符（例如，空格，回车等）的文件名。这可确保输出的观点并没有人为你正在寻找的数据改变。还使用了URL编码方案可以帮助您快速聚焦在异常的文件名。
• 在FTimes检测和处理在Windows NT / 2K / XP系统上运行时，备用数据流（ADS）。这是在行为人使用了备用数据流来隐藏工具和信息的情况下非常有用。
• 在FTimes“输出分隔ASCII，因此，有利于分析。这个输出可以使用标准数据库技术以及现有工具各种各样被同化。这使得它比专有数据库方案，它们基本上是不透明的从业者更加灵活。最终，这种格式产生更好的分析结果，因为医生能够自由操作数据，和对等体可独立地验证分析结果。同样，这有助于增强其可信性和可受理的证据。
• 在FTimes可以与所有的信息的企业解决方案传输和保存硬化Integrity服务器上进行部署。这允许数据的集中管理，并避免留下暴露于一个客户端的系统中的数据的问题。存储在客户端系统的数据易受恶意修改或破坏。
• 在FTimes原生支持客户端发起HTTP / HTTPS的上传/下载。这消除了对边界设备如防火墙具有特殊入站连接的规则。此外，有一个很好的机会，现有的边界设备已经支持所需的出站通信路径，因为它是作为一个需要浏览网页一样。
• 在FTimes提供了一个高效的字符串搜索功能（又名挖模式）。这是在当医生具有关键字或字节的字符串有可能在目标系统上的某处存在一个轮廓调查特别有用。
• 在FTimes可选支持设备文件挖掘（块/字符）。
• 在FTimes'输出是每个属性的基础上进行配置。这使用户能够开发数据的方式，是最适合他们的需求。
• 在FTimes选择生成目录哈希值。这是一个显著分析优势的情况下的含量很少改变。它的优点是，一个散列有效地代表包含在一个给定树中的所有目录和文件的内容。
• 在FTimes选择生成符号链接哈希值。
• 在FTimes可选择通过XMagic执行文件打字。当有数百未知散列或数千，所以很难确定哪些文件可能已经改变为恶意行为的结果。在这些情况下，类型信息可以被用来进行分类的文件并优先在其中它们被检查的顺序。
• 在FTimes具有极快的，可调的比较能力。这使医生能够快速分析快照和确定的变化。

什么是此版本中的新：

• 在对代码进行清理和精制必要
• 在一些错误已得到修复。
• 在此版本包括文件挂钩的更新支持，并介绍了KL-EL型XMagic。
• 因此，libklel的最低版本已经rasied到1.1.0，其中有2库版本：0：1。
• 在对的squashfs文件系统支持加入。