Com versões para Linux e binários para Win32, o TSK novo vem com algumas novidades, além do tradicional conserto dos bugs reportados:
- Flag de case-sensitive para o fsstat no HFS+
- Nome default do atributo $Data do NTFS tem nova regra de formação
- Adicionaram os parâmetros -e e -s no img_cat, dessa forma permitindo recuperar apenas uma faixa de setores
- Uma nova classe foi criada para tornar mais fácil a criação de ferramentas que analisam todos os arquivos da imagem
- Criou-se uma nova camada de abstração (camada de automação). A idéia dessa camada é conter ferramentas que realizam operações mais complexas, correlações, etc. Dentre elas:
* tsk_recover localiza e extrai arquivos diretamente de uma imagem. Muito bom para extrair/recuperar arquivos não-alocados;
* tsk_loaddb analisa a imagem forense, baixando todas as informações da imagem para um arquivo de banco de dados sqlite. Muito útil para que outras análises possam ser feitas na imagem sem que os utilitários do TSK sejam chamados. Logicamente, gasta-se um tempo na geração desse banco de dados mas depois as operações a partir dele se tornam mais rápidas;
* tsk_getimes varre todos os volumes em uma imagem forense e coleta as MAC times disponíveis no estilo do bodyfile (fls);
* tsk_comparedir compara um diretório montado com uma imagem, procurando detectar rootkits. A idéia é que rootkits conseguem inibir a aparição de alguns arquivos no disco, mas normalmente não tem nenhum mecanismo de ocultamento para quando o disco é acessado em modo raw. Por isso, o programa compara as saídas em modo raw com a obtida pelos comandos do SO. As discrepâncias são alertadas;
Alguém já está usando a nova versão (principalmente as novas ferramentas) e gostaria de compartilhar ?
Até o próximo post !
Nenhum comentário:
Postar um comentário