P. 1
HelixProeEsp

HelixProeEsp

|Views: 827|Likes:
Publicado porsykrayo

More info:

Published by: sykrayo on Apr 26, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

05/17/2014

pdf

text

original

Traducido por Sykrayo España

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIÓN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL sykrayo@hotmail.com

Traducido por Sykrayo España

Hélice 1.7 para Principiantes
por BJ Gleason y Dibujó Fahey Manual Versión 03/07/2006
1

Traducido por Sykrayo España

HelixManual@gmail.com

2

Traducido por Sykrayo España

Estimado Helix usuario: Gracias por tomarse el tiempo para leer este documento. Este es un trabajo en progreso, y con suerte, usted lo encontrará útil. El documento ha crecido rápidamente, y además de ser una guía para el principiante, sino que también contiene materiales de referencia para la mayoría de los comandos incluidos en el CD de Helix. A medida que se actualiza Helix, este manual será actualizado, y sólo han sido informados por Drew Fahey, se incluye en el CD Helix. Las actualizaciones provisionales, según sea necesario, se publicarán en el http://www.e-fense.com sitio web. Hay varias cosas que no están bien completado todavía, pero espero que será en las próximas revisiones. Si usted tiene algo que le gustaría contribuir a este proyecto de documentación, o si tiene alguna sugerencia, corrección, felicitaciones o quejas, por favor envíelas a mí en HelixManual@gmail.com. Por favor, incluya el número de versión del manual de la cubierta del documento, y cualquier número de páginas relacionadas. Mientras que yo podría trabajar en esto para siempre, y nunca tienen bastante la forma que yo quiero, llega un momento en el que no se puede postergar por más tiempo y tienen que hacerlo por la puerta. Así que para el futuro próximo, tengo la intención de lanzar una actualización del manual aproximadamente cada 2 meses, mientras que todas las torceduras se están elaborando. Algunas de las próximas actualizaciones incluyen: • Documentación de las herramientas de línea de comandos de Windows • Más ejemplos • Más laboratorios prácticos para permitir a los usuarios practicar y perfeccionar sus habilidades • Cuestiones de procedimiento forense He aprendido mucho de la hélice, y de las muchas otras herramientas forenses y sitios web que están ahí fuera. Esta es mi oportunidad de devolver un poco de lo que he tomado. Estoy deseando escuchar lo que piensas de este manual. Respetuosamente,

BJ Gleason 07 de marzo 2006, Seúl, Corea Una nota sobre derechos de autor: El objetivo de este manual es para producir una única fuente de referencia para las herramientas incluidas en el CD de Helix. Una gran cantidad de los materiales incluidos en este manual ha sido copiado de varios sitios web, y se han hecho intentos para asegurarse de que todo está bien documentado y referenciado. Si usted es propietario de los derechos del material, y tienen problemas con su inclusión en este 3

Traducido por Sykrayo España

documento, por favor comuníquese conmigo al ÉllixManual@gmail.com, Y vamos a resolver el problema. Gracias por sus contribuciones, su paciencia y su comprensión.

4

Traducido por Sykrayo España

Tabla de Contenido
Introducción
Gracias Historial de revisiones

9
9 10

Hélice
¿Qué es Helix? ¿Por Helix diferente Modos de funcionamiento El lateral de Windows El lado Linux

12
12 12 12 13 14

Conseguir Helix
Descarga de Comprobación de la Descarga Quemar un CD con Nero Quemar un CD con Roxio CD Creator

16
16 16 17 18

Temas Forenses (ventanas laterales)
Protección contra escritura de los medios de comunicación Protección contra escritura Hardware Protección contra escritura de software Validación de protección contra escritura Hardware / Software

19
19 20 21 21

Helix Pantalla Principal (Windows Side)

23

Ver información del sistema

27

Adquirir una imagen "en vivo" de un sistema Windows mediante dd

30

Usando dd FTK Imager

30 33

Herramientas de gestión de crisis para los sistemas Windows

35

5

Traducido por Sykrayo España

Ventanas Forense Toolchest (WFT)

37

Colección de informes de respuesta a incidentes (IRCR2)

40

Disco Evidencia de First Responder (FRED)

42

First Responder Utilidad (FRU)

45

SecReport

47

Md5 Generador

50

Comando de Shell

52

Rootkit Revealer

53

Recuperación de archivos

57

PuTTY SSH

63

Captura de Pantalla

64

Messenger Password

65

Mail Password Viewer

67

Proteja Visor de almacenamiento

68

Network Password Viewer

70

Registry Viewer

71

IE History Viewer

73

Asterisk Logger

74

4

Traducido por Sykrayo España

IE Cookie Viewer

75

Mozilla Cookie Viewer

76

Cadena de Custodia

77

Preservación de Evidencia Digital

79

Guía de Linux Forense para principiantes

79

El examen forense de evidencia digital

80

Examinar contenido del CD-ROM y Host

81

Analizar en busca de imágenes a partir de un sistema en vivo Salir de Helix

83 85

Helix desde la línea de comandos (Windows Side)
No Inicio de la GUI Desde un shell de comandos Herramientas disponibles desde la línea de comandos

86
86 86 87

Helix arranque (Linux Side) Temas Forenses (Side Linux)
Protección contra escritura de los medios de comunicación Configuración de un dispositivo USB para lectura / escritura Utilizando Helix en VMWare El sistema de archivos Helix
Unionfs Los sindicatos Copia en escritura93

90 91
91 91 91 92
93

Raid Esencial Entendimiento dd Adquisición tradicional (imagen Dead) Imagen de un Listener Netcat / Cryptcat Imaging to a Samba Server

94 94 96 97 97

5

Traducido por Sykrayo España

Fundamentos de arranque
F1 - Ayuda y Cheat Codes Opciones predeterminadas para los diferentes modos de inicio F2 - Lenguaje y Selección disposición del teclado F3 - Selección del modo de Splash F4 - Resolución de la pantalla

99
100 107 108 108 108

Interfaz de usuario Helix
El escritorio Tareas comunes El Administrador de archivos

110
111 112 113

Herramientas Helix
Adepto AIR: Imagen automatizada y restauración

130
133

137

Ropa: EnCase herramienta de adquisición de imágenes. Perdiguero

139 141

Autopsia

144

pyFlag

147

Regviewer

149

HexEditor (GHex)

151

Xfce Dif.

152

xhfs

153

6

Traducido por Sykrayo España

ClamAV: ClamAV Antivirus escáner.

184

F-Prot

186

pyFlag

188

RAID-Montaje

188

RAID-Montaje

189

Partición-Info

190

Herramientas de línea de comandos
2hash: MD5 y SHA1 hash paralelas. chkrootkit: buscar rootkits. chntpw: Cambie las contraseñas de Windows. dcfldd: dd reemplazo del DCFL. e2recover: Recuperar archivos borrados en sistemas de archivos ext2. f-prot: F-Prot Antivirus escáner. Fatback: Analizar y recuperar archivos FAT eliminados. faust.pl: Analizar elf binarios y secuencias de comandos bash. Fenris: depuración, seguimiento, descompilación. lugar: Carve archivos basados en encabezado y pie de página. ftimes: Un conjunto de herramientas para la adquisición de datos forenses. galleta: Analizador de la galleta por Internet Explorer. visión: Indexación y sistema de consulta. grepmail: Grep través de buzones. logfinder.py: EFF utilidad logfinder. logsh: Iniciar la sesión de terminal lshw: Hardware Lister. mac-ladrón: ladrón de tumbas de TCT escrito en C. mac_grab.pl: e-fensa utilidad momento MAC. md5deep: md5sum recursiva con búsquedas db. ser más astuto que: suite de detección de esteganografía. pasco: herramienta forense para el análisis de Internet Explorer. rifiuti: Analizador "Papelera de reciclaje". rkhunter: Rootkit Hunter. bisturí: Fast File Carver sdd: Specialized dd w / un mejor rendimiento. sha1deep: sha1sum recursiva con búsquedas

192
d b . s h a 2 5 6 e e p : s h a 1 s u m r e c u r s i v a c o n

7

Traducido por Sykrayo España

búsquedas db. Stegdetect: suite de detección de esteganografía. limpiar: Secure archivo borrado.

193 199 202 204 208 209 213 221 222 235 238 265 266 275 277 279 280 281 283 284 287 291 292 293 295 296 300 303 306 309

Binarios Estáticos

314

8

Traducido por Sykrayo España

La necesidad de Binarios Estáticos

314

Ventanas

314

Linux

315

Solaris

316

Preguntas más frecuentes
Obtener más ayuda

317
318

Los laboratorios de prácticas
Lab 1a - Crear una imagen de un disquete sospechoso (Windows, Adquisición vivo, dd) Lab 1b - Crear una imagen de un disquete sospechoso (Windows, FTK Imager) Lab 2 - Crear un disquete de un sospechoso de imagen (Windows, FTK Imager)

319
320 323 328

Apéndice 1 - Samba archivo de configuración Forense Apéndice 2 - Comandos de Linux Referencias

332 333 339

9

Traducido por Sykrayo España

Introducción
e-fensa, Inc. desarrolló Helix como una herramienta interna para proporcionar la capacidad de adquirir imágenes forenses de sonido de muchos tipos de discos duros y particiones de los sistemas que ejecutan configuraciones únicas, tales como arrays RAID. Rápidamente creció para incluir a muchos de código abierto, y un poco de código cerrado, herramientas para los investigadores forenses de e-fensa, y se convirtió en la norma interna de los sistemas de imagen "en vivo", así como los sistemas que ejecutan configuraciones RAID. Esto nos ha permitido tratar fácilmente con el tema en el mundo corporativo que algunos sistemas no podrían ser tomadas fuera de línea para hacer una adquisición forense más tradicional. Como la mayoría de los sistemas corporativos ejecutan Microsoft Windows, hemos desarrollado una funcionalidad de Windows para facilitar la captura de datos volátiles sistemas "en vivo de Windows, así como para llevar a cabo una adquisición forense mientras el sistema se mantuvo en línea. Helix primero se dio a conocer el 23 de noviembre 2003. Su popularidad creció rápidamente, y Rob Lee comenzó a usarlo en SANS para enseñar la pista forense. Helix ha estado yendo fuerte desde entonces y ha sido descargado en innumerables ocasiones. Muchas agencias gubernamentales y la aplicación de la Ley comunidad en todo el mundo han recurrido a Helix como su nivel de adquisición forense debido a su funcionalidad y la rentabilidad (que se puede superar GRATIS)! El Centro Nacional de Delitos de Cuello Blanco (NW3C) ha optado por utilizar Helix para enseñar Aplicación de la ley forense de Linux en CD de arranque. El nombre Helix fue elegido por ninguna razón en particular aparte de que encaja con el sonido del nombre Linux. También desde forense es una ciencia en el símbolo DNA helix parecía aplicarse. Así Helix nació. Helix es un trabajo en progreso y no está destinado a ser utilizado por personas sin adecuada respuesta a incidentes y / o capacitación forense. Mientras que muchos comandos complejos se simplifican con una interfaz gráfica de usuario, que es responsabilidad del usuario final para saber lo que esos comandos están haciendo para que no elimine inadvertidamente pruebas, de modo que si se llama a declarar, no pareces un idiota cuando usted no puede explicar sus acciones en el estrado de los testigos. Helix es liberado bajo los términos de la Licencia Pública General GNU, versión 2. Helix se distribuye tal como se ofrecen SIN NINGUNA GARANTÍA, ni la garantía implícita de COMERCIALIZACIÓN o IDONEIDAD PARA UN PROPÓSITO PARTICULAR. Vea la Licencia Pública General de GNU para más detalles.

Gracias
Este manual es una compilación de muchas fuentes. Mientras que la mayoría de esta información se puede encontrar en otros lugares en el Internet, quería tirar de ellos al conjunto en un solo manual de referencia para mis alumnos, y para cualquier persona que esté interesado en aprender más acerca de la informática forense. La lista de las personas que forman parte de esta lista es probablemente incompleta. Si usted piensa que alguien se pierde, o si he interpretado mal a alguien, por favor, hágamelo saber ... 10

Traducido por Sykrayo España

Dibujó Fahey - Creador de la hélice y el Manual Helix Klaus Knopper - creador de Knoppix Nirsoft - los desarrolladores de muchos de los instrumentos basados en Windows Jesse Kornblum, Harlan Carvey, Kevin Mandia, Chris Prosise, Matt Pepe, Brian Carrier Y a los muchos otros que han contribuido con su tiempo y sus esfuerzos en desarrollo de estas herramientas.

11

Traducido por Sykrayo España

Historial de revisiones
Versión Detalle s

07/03/2005

27/12/2005 10/05/2005

Liberación retardada para que coincida con la nueva versión 1.7 Helix Fixed Descripción FRU utilizar el Project Server Forense Actualizado a algunas de las capturas de pantalla en las secciones Linux Añadida descripciones de las principales herramientas en el lado de Linux. Añadido falta apéndices Añadido iconos para cada herramienta Varias correcciones de ortografía Agregó "Temas forenses", tanto para el Windows y Linux lados. Añadido Lab1b - Crear una imagen de un disquete sospechoso (Windows, FTK Imager) Añadido hardware y soporte de software escriben funciones de protección. Continuando la actualización referencias Añadido nuevo Logo Helix Añadido Sección "Helix Cómo" Agregó "Uso Helix en VMWare" Sección Añadido Sección "Binarios Estáticos" Añadido FAQ Añadido opciones de arranque helicoidales, los códigos de trucos Añadido descripciones de los paquetes individuales para el lado de Linux Primera pública de un disquete de un sospechoso de imagen (Windows, FTK Imager) Añadido versión Lab 2 - Creación Prueba de concepto con Drew Fahey

Gracias a todos los depuradores! Harlan Carvey Chris Cohen dibujó Fahey Ian Marks

12

Traducido por Sykrayo España

Consejos para principiantes
Helix es una herramienta muy poderosa. Pero con un gran poder conlleva una gran responsabilidad, y como forense potencial investigador, es su responsabilidad de aprender a utilizar esta herramienta correctamente. Se espera que si se ha descargado y ha creado un disco de arranque Helix, y que tiene un interés en la ciencia forense digital. Pero al igual que se puede utilizar un martillo para construir una casa, no se puede construir una casa simplemente usando un martillo. Para construir una casa con éxito, necesita arquitectos, abogados, trabajadores de la construcción, muchas herramientas, equipos e inspectores. Lo mismo es cierto en el campo de la ciencia forense digital. Antes de examinar cualquier sistema, es necesario asegurarse de que tiene permiso para examinar ese sistema. Es necesario conocer los aspectos legales de la colección, documentación y preservación de evidencia digital. Usted necesita saber cómo utilizar las herramientas de trabajo (como los que en el CD Helix). Errores simples y buenas intenciones pueden destruir completamente la evidencia digital. Se recomienda encarecidamente que los investigadores aspiran a aprender sobre ciencia forense digital, y la práctica en los sistemas controlados antes de tratar de obtener pruebas de un sistema real. Algunos libros recomendados en la ciencia forense digital incluyen: Carrier, B. (2005). Análisis forense del sistema de archivos. Boston, Mass.; London: AddisonWesley. Carvey, H. A. (2005). Forense de Windows y de recuperación de incidentes. Boston: Addison-Wesley. Casey, E. (2004). Pruebas y delito informático digital: la ciencia forense, la informática, y la Internet (2 ª ed.). Amsterdam; Boston: Academic Press. Farmer, D., y Venema, W. (2005). Descubrimiento Forense. Upper Saddle River, NJ: AddisonWesley. Jones, K. J. (2005). Análisis forense digital real: la seguridad informática y la respuesta a incidentes. Indianápolis, IN: Addison Wesley Professional. Prosise, C., y Mandia, K. (2003). Respuesta y la informática forense de incidentes (2 ª ed.). New York, New York: McGraw-Hill/Osborne. Schweitzer, D. (2003). Respuesta a incidentes: informática forense toolkit. Indianapolis, IN: Wiley. Salomón, M., Barrett, D., y escoba, N. (2005). Informática forense JumpStart. San Francisco: Sybex. Vacca, J. R. (2005). Informática forense: Crime Scene Investigation ordenador (2 ª ed.). Hingham, Massachusetts: Charles River Media. También recomendaría que se crea un laboratorio casero en el que practicar con estas herramientas. Recomiendo 2 sistemas con Windows 2000 o XP, con una conexión de red entre ellos, ya sea a través de un interruptor o un cable cruzado. Dado que algunos de estos datos de transferencia de herramientas a través de la red, asegúrese de desactivar cualquier firewall, como la incorporada en XP Service Pack 2, que puede interferir con las conexiones de red. Me gustaría marcar una máquina como "sospechoso", y en el otro como "forense". Para experimentar con imágenes de disco, recomiendo tener máquinas con disquetes, y el sistema sospechoso debería tener un pequeño disco duro (4 GB) o menos, ya que la copia duros más grandes en una red puede llevar mucho tiempo y requerir mucho de espacio en el sistema forense. Para que el sistema forense, recomiendo tener dos discos duros (o al menos dos particiones) - una para el 13

Traducido por Sykrayo España

sistema operativo y otro para las pruebas recogidas.

14

Traducido por Sykrayo España

Hélice
¿Qué es Helix? Helix es una adaptación de la norma Knoppix1 distribución. Como tal, se lo debe todo a la labor ya realizada por Klaus Knopper y inspira en gran medida del trabajo realizado por varias personas en www.knoppix.net. De hecho, knoppix.net es el primer lugar para ir si usted está buscando información sobre cómo personalizar. Hay muchas otras distribuciones LiveCD disponibles que han existido más de Helix, pero muchos de ellos ya no se mantienen o no se actualizan de forma bastante frecuente. Muchas de las ideas originales de Helix se originó a partir de estas distribuciones: Knoppix Knoppix-STD2, Fire3, Morphix4, Insert5 ¿Por Helix diferente Helix es una versión muy modificada de Knoppix. Sin embargo, aunque hay muchas variantes en el Knoppix original, Helix es diferente, ya que gran parte del código ha sido ajustado para fines forenses. Parte del código ha sido elaborado a partir de cero y es una distribución dedicada exclusivamente para la respuesta a incidentes y análisis forense. Algunos de los principales cambios Helix incorporado en Knoppix son: 1. Helix NUNCA utilice el espacio de intercambio se encuentra en un sistema - incluso si se le obliga. 2. El montador Helix creará unidades que encuentra, pero obligará a un punto de montaje para ser ro, noatime, noexec, nodev, noauto, user 3. Helix ve a todos los sistemas de ficheros identificados por Knoppix (ext2, ext3, vfat, ntfs), pero también verá xfs, resier y jfs y mucho más. 4. Helix incorpora tantos forense de código abierto / herramientas de respuesta a incidentes que se podían encontrar. 5. Alta capacidad de "Knock y conversaciones." Esta característica permite a un oficial de libertad condicional a una vista previa de un sistema de imágenes gráficas que pueden violar la libertad condicional. 6. Entorno de ejecución de Windows-side. 7. Añadido un sistema de archivo de superposición para permitir que se escribe en el CD. 8. Actualizado por lo menos cada 3 meses para mantener al día. Modos de funcionamiento Helix funciona en dos modos diferentes - Windows y Linux. Helix es un entorno de arranque de Linux forense de sonido muy similar a Knoppix, pero mucho más. El "otro lado" de Helix, una función ejecutable de Microsoft Windows, contiene aproximadamente 90 MB de las herramientas de respuesta a incidentes para Windows. La razón detrás de esto es que la mayoría de incidentes requiere la interacción con un sistema de Windows Live, el sistema operativo dominante en el mercado de las computadoras.
1 2 3

http://www.knopper.net/knoppix/index-en.html http://www.knoppix-std.org/ http://fire.dmzs.com/

15

Traducido por Sykrayo España

4 5

http://www.morphix.org/modules/news/ http://www.inside-security.de/insert_en.html

16

Traducido por Sykrayo España

Como tal Helix se divide en la parte de respuesta en directo y el lado arranque Linux OS. Windows: en el modo de Windows, que se ejecuta como una aplicación de Windows estándar que se utiliza para recopilar información de "en vivo" (sigue encendido y conectado) del sistema de Windows. Debe tenerse en cuenta, que cuando un sistema de destino es vivo, su estado está cambiando constantemente. No importa qué herramientas se utilizan en un sistema vivo, se le perturbe el estado del sistema en vivo - incluso haciendo "nada" cambia el estado de un sistema en vivo, ya que todavía se está ejecutando el sistema operativo. Sin embargo, como apagar el sistema puede ocasionar la pérdida de información potencialmente importante forense, las herramientas se pueden usar para recoger información volátil. También se puede utilizar para recopilar información fuera de los sistemas que no se puede apagar, como los servidores y otros recursos críticos que no se puede apagar. Por último, la parte de Windows de Helix se puede utilizar un entorno forense portátil, ya que proporciona acceso a muchas ventanas basado utilidades forenses. Linux: En el modo de Linux, es un sistema operativo de arranque, autónomo que se puede utilizar para el análisis en profundidad de los sistemas de "muertos" (apagada). Cuando se inicia la hélice, que se ejecuta por completo desde el CD, y sólo monta los discos duros en modo de sólo lectura, por lo que no se puede modificar. Además de las herramientas estándar de Linux, esta parte incluye numerosas herramientas de análisis forense que se puede utilizar para examinar el sistema de destino. El lateral de Windows Para obtener una respuesta en vivo en cualquier entorno de Windows, se puede simplemente inserte el CD Helix y "explorar" los directorios en el CD para los archivos binarios ambiente necesario. Los binarios son estáticos por lo que se ejecutará desde el CD sin necesidad de ninguna librería adicional y o archivos. Esto hace que un CD de confianza perfecto para una respuesta a incidentes en los que no se puede confiar en las herramientas o programas de los sistemas. La otra opción que tienes, al menos en un entorno Windows, es el Helix.exe. Normalmente se cargará automáticamente el menú si no se desactiva de ejecución automática. Correr Helix.exe o depender de ejecución automática, aparecerá el medio ambiente Helix Windows en el que varias opciones vuelven supuesto available.Of estas opciones no son nuevas, un usuario podría duplicar manualmente. El entorno de la hélice simplemente pone las opciones juntos de una manera forense seguro, fácil de usar,. Empecemos por la disección de la parte de respuesta en directo de Helix. Las piedras angulares de la parte de respuesta en directo son las herramientas. Helix contiene binarios estáticos para Linux, Solaris y Windows que utilizan GNU utilidades y herramientas Cygwin. Hay varias otras herramientas para incluir George de Garners Forense Adquisición Utilidades suite, herramientas de Sysinternal, herramientas de código abierto de Foundstone, el depurador de Windows, Windows Forense Caja de herramientas, y muchos more.All de estas herramientas han sido probadas y se coloca en la hélice con una interfaz gráfica de usuario. El Helix GUI sólo funcionará en un entorno de Windows Live. Se ha probado en Windows 98SE, Windows NT4, Windows 2000 y Windows XP. Existen ligeras diferencias en el funcionamiento de la unidad de CD Helix en cada uno. La nota más importante a recordar es que desde que 17

Traducido por Sykrayo España

Windows es necesario para ejecutar la interfaz anterior, muchos archivos DLL serán utilizados por la hélice del sistema operativo. Esto no es un problema, sin embargo, siempre y cuando usted es consciente de ello. Algunos de los archivos DLL que se utilizarán se muestran en la tabla a la derecha.

18

Traducido por Sykrayo España

Estos archivos DLL no se incluyeron en el CD debido a la naturaleza de las diferentes versiones de Windows. No hay manera de construir con la corriente de tener el ejecutable de la hélice no acceder a la construida en archivos DLL de Windows. La respuesta a incidentes / forenses herramientas incluidas en el CD Helix son autosuficientes - la mayoría de ellos utilizan sus propias bibliotecas y no las bibliotecas y / o archivos desde el sistema en funcionamiento. Helix puede y usará otros archivos DLL, dependiendo del sistema que se está ejecutando. Los otros archivos DLL que se utilizan son enganches al hardware.So específico que usted debe tener en cuenta otros archivos que usted puede tocar durante el uso de Helix en un entorno real. Algunas de las nuevas características de la hélice en la parte de Windows incluyen la capacidad de entrada del usuario para algunas de las herramientas más importantes, como Windows Forense Toolchest.Prior a la versión 1.5 de la entrada era estático y no puede ser cambiado sin remasterizar el CD Helix. Mientras que muchas de las herramientas más comunes se puede acceder a través de la interfaz gráfica de usuario Helix, muchas más herramientas se puede acceder a través de una herramienta de comandos forense. Muchas de estas herramientas se enumeran en la página siguiente, sin embargo, ya que la hélice se actualizan a menudo, siempre se puede comprobar en la carpeta / IR en el CD de Helix para ver qué herramientas están incluidos. El lado Linux Uno de los mayores beneficios de la hélice es el entorno de arranque. Helix arrancará en todas las arquitecturas x86 que constituyen la mayoría de las computadoras en el mundo. Es por esta razón por la que la hélice para el futuro inmediato se mantendrá en un CDROM. Casi todos los ordenadores en el mundo tiene un CD-ROM, pero la mayoría no tienen DVD, etc Mientras derivados como Helix USB se obtendrán, es más estable en la plataforma CD. Helix, como Knoppix, se iniciará en un autónomo entorno Linux. Este entorno ha sido ajustado para fines forenses. Si bien hay muchas distribuciones de Knoppix como Knoppix-STD, Helix sólo se concentra en la respuesta a incidentes y análisis forense.

Archivos DLL utilizados por la hélice en Windows
C: \ WINDOWS \ system32 \ advapi32.dll C: \ WINDOWS \ system32 \ apphelp.dll C: \ WINDOWS \ system32 \ comctl32.dll C: \ WINDOWS \ system32 \ comdlg32.dll C: \ WINDOWS \ system32 \ CRYPT32.DLL C: \ WINDOWS \ system32 \ Dnsapi.dll C: \ WINDOWS \ system32 \ dsound.dll C: \ WINDOWS \ system32 \ gdi32.dll C: \ WINDOWS \ system32 \ Imagehlp.dll C: \ WINDOWS \ system32 \ kernel32.dll C: \ WINDOWS \ system32 \ ksuser.dll C: \ WINDOWS \ system32 \ midimap.dll C: \ WINDOWS \ system32 \ msacm32.dll C: \ WINDOWS \ system32 \ msacm32.drv C: \ WINDOWS \ system32 \ msasn1.dll C: \ WINDOWS \ system32 \ Msctf.dll C: \ WINDOWS \ system32 \ mslbui.dll C: \ WINDOWS \ system32 \ msvcrt.dll C: \ WINDOWS \ system32 \ netapi32.dll C: \ WINDOWS \ system32 \ ntdll.dll C: \ WINDOWS \ system32 \ ole32.dll C: \ WINDOWS \ system32 \ OLEAUT32.dll C: \ WINDOWS \ system32 \ oledlg.dll C: \ WINDOWS \ system32 \ OLEPRO32.DLL C: \ WINDOWS \ system32 \ rasadhlp.dll C: \ WINDOWS \ system32 \ Rpcrt4.dll C: \ WINDOWS \ system32 \ Secur32.dll C: \ WINDOWS \ system32 \ Setupapi.dll C: \ WINDOWS \ system32 \ SHELL32.dll C: \ WINDOWS \ system32 \ SHLWAPI.dll C: \ WINDOWS \ system32 \ USER32.dll C: \ WINDOWS \ system32 \ uxtheme.dll C: \ WINDOWS \ system32 \ Version.dll C: \ WINDOWS \ system32 \ wdmaud.drv C: \ WINDOWS \ system32 \ Winmm.dll C: \ WINDOWS \ system32 \

19

Traducido por Sykrayo España

winspool.drv C: \ WINDOWS \ system32 \ Wintrust.dll C: \ WINDOWS \ system32 \ ws2_32.dll C: \ WINDOWS \ system32 \ ws2help.dll C: \ WINDOWS \ system32 \ wsock32.dll

20

Traducido por Sykrayo España

Herramientas Helix
CONDUCIR DE ADQUISICIÓN: CYGWIN Herramientas: (dd, md5sum, sha1sum, tee, split) FAU por George Garner: (dd, nc, md5sum, volumen-dump, limpie) GNU Herramientas: (dd, md5sum, sha1sum, tee, split) Respuesta a incidentes HERRAMIENTAS: Windows NT: (cmdnt.exe, doskey.exe, ipconfig.exe, ...) Windows 2000: (cmd2k.exe, doskey.exe, netstat.exe, net.exe, ...) de Windows XP: (cmdxp.exe, doskey.exe, ipconfig.exe, ...) OTRAS HERRAMIENTAS: Cygwin: (versión 2.427) Somarsoft: (DUMPEVT, DumpSec, dumpreg) WFT: (Versión: v1.0.03 (20.09.2003) por Monty McDougal) getinfo: (Versión: 2.3.10 por Alexander Kotkov) Microsoft Herramientas de depuración: (Versión: 6.2) GNU-Win32 Static-Binarios Linux Static-Binarios Solaris Static-Binarios De Foundstone herramientas de código abierto: AFind HBusque SQLScan fileWATCH Auditados MessengerScan SuperScan4 galleta Franciscan DACLchk a MyDoomScanner NetSchedScan Visión pasco agresor rifiuti DSScan RPCScan2 bintext showin FPipe Sfind bopping sl FILESTAT SNScan ddosping trucha

Sysinternals Open Source HERRAMIENTAS: AccessEnum NTFSInfo Autorunsc psloglist DiskView Regmon LiveKD PsPasswd EFSDUMP TDIMON procexp psshutdown Filemon TOKENMON psexec PsSuspend HOSTNAME TCPView PsGetSid cuerdas LogonSessions Autoruns pskill Tcpvcon

NTSECURITY herramientas de código abierto: browselist gsd promiscdetect dumpusers listmodules pstoreview efsview lns winfo etherchange macmatch winrelay filehasher periscopio gplist pmdump

PERL HERRAMIENTAS DE HARLEN Carvey: anu nci servicio os bho parti cipac ión finfo sigs KeyTime ver derechos windata

21

Traducido por Sykrayo España

Conseguir Helix
Helix está disponible como una descarga gratuita imagen ISO de http://www.e-fense.com/helix/. De la página de descarga http://www.e-fense.com/helix/downloads.php, Usted tendrá la opción de espejos sitios desde donde se puede descargar el archivo. Para obtener la mejor respuesta y descarga más rápida, trate de elegir un servidor cercano a usted. Descarga de Si bien es posible descargar el archivo de imagen con el navegador, se recomienda utilizar una descarga acelerar como Download Express (http://www.metaproducts.com/DE.html), Download Accelerator Plus (http://www.speedbit.com /) O GetRight (http://www.getright.com/) Para asegurarse de que el archivo de gran tamaño, que es aproximadamente 700MBs, descargas correctamente. Estas utilidades se pueden reanudar las descargas que se interrumpen, y puede archivos de gran tamaño del segmento y descargar simultáneamente los diferentes segmentos para transferencias más rápidas. Comprobación de la Descarga Después de descargarlo, pero antes de que se quema en un CD, usted debe comprobar que el archivo se ha descargado correctamente. En la página de descarga es una firma MD5 del fichero. Para la hélice 1,7 12-07-2005 liberación, el valor MD5 es 90d751e1be36ee24025d8a635f2a9e1d. U s t e d debe utilizar un generador de MD5 basado en Windows o DOS para asegurarse de que el archivo que ha descargado tiene el mismo firma. Si incluso un solo bit es diferente, se generará un MD5 diferente. Si los valores son iguales, muy bien, ahora se puede grabar en un CD. Si los valores son diferentes, usted debe tratar de descargar el archivo de nuevo. Algunos usuarios han reportado tener que descargar el archivo en varias ocasiones antes de que los valores de MD5 igualados. Un poco de mano herramientas MD5 para Windows es WinMD5 de Softgears. http://www.softgears.com/WinMD5.html. Es gratis, y no tiene que ser instalado. Simplemente descomprima y ejecute el archivo WinMD5.exe. En las ventanas MD5, puede navegar usando el botón "..." para encontrar donde se encuentra el archivo descargado. Haga clic en el botón "Mostrar MD5" para generar la firma MD5 para el archivo. Debido al tamaño del archivo, es posible que tome un momento para el valor a mostrar. Este valor debe coincidir con el valor MD5 de la website.If los valores son los mismos, que ahora está listo para grabar el CD. 22

Traducido por Sykrayo España

Quemar un CD con Nero El archivo ISO Helix. Es una copia de el CD hélice. Usted no sólo debe copiar el archivo en un CD, usted tiene que grabar un CD con la imagen contenida en el archivo ISO.. Para ello, normalmente, seleccione una opción en el software de grabación llamado algo así como "Grabar imagen ..." o "Crear CD de imágenes ". Con Nero Burning ROM, seleccione la opción "Recorder" en el menú, y seleccione "Grabar imagen ...".

Seleccione la imagen. ISO que ha descargado y haga clic en "Open".

En este punto, simplemente haga clic en "Grabar" y Nero creará el CD Helix de la imagen ISO.. Una vez que el CD es expulsado al final del proceso de grabación, usted tendrá un CD arrancable Helix. Para obtener más información acerca de Nero, visite http://ww.nero.com/.

23

Traducido por Sykrayo España

Quemar un CD con Roxio CD Creator El Roxio CD Creator puede crear un CD desde un archivo ISO. El proceso de instalación asocia automáticamente. Archivos ISO en el Creador EasyCD. Para obtener más información, visite: http://www.roxio.com. Desde el Explorador de Windows, haga clic derecho en el archivo Helix. ISO que ha descargado y haga clic en Abrir. En la configuración de la creación del CD cuadro de diálogo, seleccione el disco en vez de la sección Método de escritura para los mejores resultados. Haga clic en Aceptar para escribir la imagen al CD. Comprobación del CD Una vez que el CD se quema, se puede comprobar de nuevo. Por lugar en el CD en un CD-ROM de arranque, una vez que aparezca el menú de inicio de Helix, puede utilizar la opción TestCD para asegurarse de que el CD se ha creado correctamente. Dependiendo de la velocidad de la unidad de CD, puede tardar algún tiempo en completarse. Durante el proceso de arranque, Helix comprobará todos los archivos para verificar es el valor MD5. Cuando se hace la comprobación, se mostrará el mensaje "Todo se ve bien", y luego continuar con el inicio en el medio ambiente Helix.

24

Traducido por Sykrayo España

Temas Forenses (ventanas laterales)
Protección contra escritura de los medios de comunicación Para asegurar que los medios evidencias digitales no se modifica, antes de que se coloca en un sistema de duplicación, debe estar en "Sólo lectura", "bloqueado" o "protección contra escritura", para evitar la modificación accidental. De forma predeterminada, Windows configurado todos los dispositivos como de lectura / escritura, por lo que se puede modificar fácilmente. El lado de Linux de arranque de la hélice se monta todos los medios de comunicación como de sólo lectura. Algunos medios de comunicación han incorporado en el hardware de protección contra escritura opciones, que se debe utilizar. Si el medio no tiene protección contra escritura opciones, se deben utilizar otros medios (equipos de protección contra escritura bloqueadores son preferibles a software). 5.25 disquete: 5,25 disquetes tienen una pequeña muesca. Si muesca que está abierto, el disco puede ser modificado. Para proteger contra escritura del disquete, cubra la ranura con una cinta adhesiva transparente, como cinta aislante, ya que algunos unidades utilizan la detección mecánica u óptica de la muesca. Imagen tomada de Computer Hope (2006b). 3.25 disquete: 3,25 disquetes tienen una pequeña ventana con un control deslizante en el mismo. Si el control deslizante bloquea el agujero, el disco se puede modificar. Traslado de la diapositiva para que el agujero está expuesto será de protección contra escritura del disco. Algunos fabricantes quitar físicamente el control deslizante de distribuciones de software para evitar que se sobrescriban accidentalmente. Imagen tomada de Computer Hope (2006a). Unidades Zip: Las unidades Iomega Zip tienen la opción de protección contra escritura de software, pero el software Zip deben ser cargados, y es probable que modifica el contenido de la unidad. Sin embargo, las últimas unidades USB 750 MB no pueden escribir a 100MB discos, por lo que están protegidos contra escritura cuando se utiliza en las unidades de 750 MB. Si se utiliza una unidad Zip USB, se recomienda el uso de un bloqueador de escritura de hardware como UltraBlock puente forense USB Digital de Inteligencia. MMC / SD (Multimedia Card / Secure Digital): Algunas tarjetas MMC / SD disponen de un interruptor en el lado a proteger. Están habilitadas para escritura por defecto. Imagen tomada de la sala de estar (2006). 25

Traducido por Sykrayo España

Sony Memory Stick: El dispositivo de memoria Sony tiene un interruptor de bloqueo en la parte inferior. Se escritura habilitada de forma predeterminada. Imagen tomada de MemoryStick.com (2006) Tarjetas de memoria flash Se recomienda el uso de un hardware de escritura bloqueador, como lector de tarjetas Forense Digital de inteligencia que puede leer los siguientes formatos de tarjetas multimedia: Tarjeta Compact Flash (CFC), Microdrive (MD), tarjeta Memory Stick (MSC), tarjeta Secure Digital Memory Stick Pro (MS Pro), Smart Media Card (SMC), Tarjeta xD (xD), (SDC) y MultiMedia Card (MMC).

26

Traducido por Sykrayo España

USB Thumb Drive: Algunas unidades flash USB tienen un interruptor de protección contra escritura incorporado a ellos. A veces son empotradas y difíciles de cambiar. Muchos pulgar unidades USB por lo que no dispone de interruptor de protección contra escritura. Imagen tomada desde NuLime.com (2006). Dispositivos USB: Se recomienda usar un bloqueador de escritura de hardware como UltraBlock puente forense USB Digital de Inteligencia. IDE / SATA / SCSI: Se recomienda el uso de un bloqueador de escritura de hardware tales como Ultrablock de Inteligencia digital. Otros dispositivos: Si el dispositivo no dispone de una función de protección contra escritura, el dispositivo debe estar protegido por hardware (preferido) o software. La parte arrancable del CD Helix monta todas las unidades como protegida contra escritura por defecto. Protección contra escritura Hardware Hay numerosos bloqueadores de escritura de hardware disponibles de muchas fuentes. Estos están diseñados y probados para que pueda montar y acceder a los medios de comunicación sin modificarlo. Hay bloqueadores de escritura de tres dispositivos principales: Discos duros, unidades flash y dispositivos USB. Mientras que los tres dispositivos ilustrados son de la Inteligencia digital (http://www.digitalintelligence.com/), hay varias empresas que producen dispositivos similares. El software para estos dispositivos se actualizan regularmente, los usuarios deben asegurarse de que están utilizando la versión más reciente. Discos Duros: Ultrablock "El UltraBlock-IDE es un FireWire / USB a paralelo Junta puente IDE con protección contra escritura forense. El UltraBlock-IDE se puede conectar a su ordenador portátil o de escritorio mediante el FireWire-A (400 Mb / s), el nuevo FireWire-B (800 Mb / s), o la interfaz USB 1.x/2.0. El UltraBlock-IDE está provisto de protección contra escritura activada de forma predeterminada. Mediante la conexión de una unidad sospechosa al UltraBlock-IDE, puede estar seguro de que no escribe, modificaciones o alteraciones se producen en la unidad adjunta "(Inteligencia Digital, 2006b). También existen versiones de la Ultrablock disponible para SCSI y SATA. Flash Drives: Lector de tarjetas Forense "Los forenses Ultrablock Lectores de tarjetas están disponibles como un conjunto: Un sólo lectura y una lectura-escritura. La unidad de sólo lectura se debe utilizar para la adquisición forense de la información encontrada en multimedia y tarjetas de memoria. La

Traducido por Sykrayo España

unidad de lectura y escritura se incluye para proporcionar la capacidad de escribir en tarjetas de memoria para la prueba o validación. El forense Lectores de tarjetas se pueden conectar directamente a un puerto USB 2.0 (o

Traducido por Sykrayo España

USB 1.x) de su estación de trabajo o portátil "(Inteligencia Digital, 2006a). Dispositivos USB: Puente forense USB "El UltraBlock USB Write Bloqueador apoya USB2.0 de alta velocidad (480 Mbit / s), USB 1.1 Full-Speed (12 Mbit / s) y dispositivos de baja velocidad (1,2 Mbit / s) que se ajuste al de almacenamiento masivo USB" a granel - sólo "especificación de la clase. El UltraBlock USB Write Bloqueador trabaja con unidades USB pulgar, discos USB externos, incluso cámaras basadas en USB con capacidad de lectura de tarjetas. "(Inteligencia Digital, 2006c) Protección contra escritura de software Aunque no del todo probado desde el punto de vista forense, Windows XP, Service Pack 2, Microsoft ha creado una forma de protección contra escritura de dispositivos USB (Hurlbut, 2005). Este método requiere realizar cambios en el registro, sin embargo, hay servicios disponibles para que estos cambios se realizan de forma automática. Para obtener más información al respecto, consulte el apartado "Cómo deshabilitar el uso de dispositivos de almacenamiento USB" en la http://support.micro¿soft.com / default.aspx scid = kb; ES-ES; 823732 Validación de protección contra escritura Hardware / Software Este proceso se basa en el Centro Nacional de (SNCF) proceso de validación paso Ciencias Forenses 5 para las pruebas de los dispositivos de protección contra escritura (Erickson, 2004). Originalmente fue diseñado para probar el XP SP2 USB software bloqueador de escritura de Windows, pero se ha adaptado para probar el hardware y / o bloqueadores de escritura de software. Paso # 1 - Preparar los medios de comunicación a) Conecte el soporte de almacenamiento que pondrá a prueba con la estación de trabajo forense en el modo de escritura habilitada. b) Limpie los medios de comunicación - validar que este ha sido sucsessful. c) Dar formato a los medios de comunicación con un formato de archivo de su elección. d) Copia de una cantidad de datos a los medios de comunicación. e) Eliminar una selección de estos datos de los medios de comunicación. f) En el escritorio de la estación de trabajo forense crea 3 carpetas. Llame a estos Paso 1, Paso 2 y el Paso 5. g) La imagen de los medios en la carpeta Paso 1 y anote el hash MD5. Paso # 2 - Prueba de los medios de comunicación a) Retire y vuelva a colocar los medios de prueba en su estación de trabajo 21

Traducido por Sykrayo España

forense. b) Copia de algunos datos a los medios de comunicación. c) Suprimido una selección de estos datos de los medios de comunicación. d) La imagen de los medios en la carpeta Paso 2 y anote el hash MD5. e) Validar que este valor hash es diferente'''' a la producida en el paso # 1.

22

Traducido por Sykrayo España

Paso # 3 - Activar el dispositivo de bloqueo de escritura a) Retire el papel de la estación de trabajo forense. b) Fijar y / o activar el dispositivo de protección contra escritura. c) Siga los procedimientos de activación específicos para el bloqueador específico. Paso # 4 - Probar el dispositivo de bloqueo de escritura a) Introduzca la tarjeta en la estación de trabajo forense. b) Tratar de copiar archivos en los medios de comunicación. c) Tratar de eliminar los archivos de los medios de comunicación. d) Trate de formatear el soporte. Paso # 5 - Verifique que no haya cambios en los medios de comunicación a) Imagen de los medios de comunicación en la carpeta Paso 3 y anote el hash MD5. b) Validar que este hash MD5 es la misma'''' como el hash MD5 de la Etapa # 2.

23

Traducido por Sykrayo España

Helix Pantalla Principal (Windows Side)
Helix funciona en dos modos, un lado de Windows, y un entorno de arranque de Linux. El lado de las ventanas se puede utilizar para llevar a cabo una evaluación preliminar para ver si hay alguna que merece investigación adicional del sistema. También se puede utilizar para capturar sistema que no se puede apagar o fuera de línea para los periodos prolongados de tiempo se necesita para realizar una duplicación forense. Nota: Al realizar una vista previa en vivo de un sistema, muchas de las acciones tomadas pueden y modificar la información de la máquina sospechosa. Este método sólo debe utilizarse cuando el sistema no puede ser tomado fuera de línea. Ejecución de la interfaz gráfica de usuario de interfaz de Windows Si se activa las características de ejecución automática de CD (que es el valor predeterminado de Windows), debe aparecer una ventana de advertencia Helix. Si la ejecución automática está desactivada, puede ejecutar Helix haciendo doble clic en el archivo helix.exe en el CD.

El usuario puede seleccionar el idioma predeterminado que Helix usará a través del cuadro desplegable. Inglés es el predeterminado, pero el francés, el alemán y el italiano también están

24

Traducido por Sykrayo España

disponibles.

25

Traducido por Sykrayo España

Para utilizar Helix, debe leer primero la advertencia. Como se ha señalado en varias ocasiones en el manual, el uso de la hélice en un entorno real hará cambios en el sistema - que es el de los riesgos inherentes a una situación real de respuesta. Pero recuerde, sólo insertar el CD se ha modificado el sistema - incluso sólo dejando el sistema encendido está modificando el sistema. Entonces, ¿qué hace usted? Se reduce a esto - ¿Va a perder más pruebas mediante el uso de esta herramienta o apagando el sistema? Usted necesita para tomar su decisión, y cuando esté listo, presione el botón para continue.Once el usuario acepta el acuerdo "Estoy de acuerdo", aparecerá la pantalla principal.

Los usuarios pueden seleccionar cualquiera de estas opciones, haga clic en los iconos asociados. Esta pantalla principal no se comporta como una ventana estándar - no es así se presenta en la barra de tareas, y no se puede cambiar a ella a través de la <ALT> <TAB> Secuencia de teclas. Helix no colocar un icono en la bandeja del sistema que se puede utilizar para acceder al programa. Para llevar la pantalla principal Helix al frente, puede hacer doble clic en el icono o haga clic y seleccione Restaurar. Otras opciones en el menú del botón derecho incluyen Minimizar y salir.

24

Traducido por Sykrayo España

La pantalla principal ofrece examinadores con seis opciones principales para examinar el sistema de investigación. A continuación se describen estas opciones. Ver información del sistema Esta opción le dará la información básica del sistema. Se incluye la versión del sistema operativo, información de la red, la información del propietario, y un resumen de las unidades del sistema. Además, hay una segunda página que mostrará una lista de los procesos en ejecución.

Adquirir una imagen "en vivo" de un sistema Windows mediante dd Esta opción permite al investigador realizar copias de los discos duros, disquetes, o memoria, y almacenarlos en un soporte extraíble locales, oa través de una red.

Herramientas de gestión de crisis para los sistemas Windows Esta opción proporciona acceso a las herramientas 20, todos los cuales se pueden ejecutar directamente desde el CD-ROM. Al hacer clic en el icono, aparecerá un pequeño triángulo al lado del icono. Haciendo clic en este pequeño triángulo dará acceso a las otras páginas de herramientas.

Los documentos relativos a la gestión de crisis, Informática Forense, Ordenador Seguridad y Delitos Informáticos La opción ofrece al usuario el acceso a algunos documentos de referencia comunes en formato PDF. Los documentos incluyen un formulario de cadena de custodia, la conservación de los datos probatorios digital, Guía forense Linux para principiantes, y el examen forense para la guía de la evidencia digital. Estos documentos son muy recomendables, y el investigador deben revisar antes de realizar cualquier examen forense.

Examinar contenido del CD-ROM y Host OS Este es un simple explorador de archivos que proporcionará al investigador con información sobre el archivo seleccionado. Se mostrará el nombre del archivo, creado, fechas accedidos y modificados, atributos, CRC, MD5 y el tamaño del archivo. Debido a la naturaleza del sistema operativo Windows, la primera vez que seleccione un archivo, se mostrará la fecha de acceso del último acceso. Si selecciona el mismo archivo, se mostrará la fecha y hora de la conexión anterior. Esta es una característica del sistema operativo Windows, y no se puede prevenir. Este es uno de los problemas con el examen de un sistema en vivo - acciones del investigador pueden modificar el sistema.

Analizar en busca de imágenes a

25

Traducido por Sykrayo España

partir de un sistema en vivo Esta herramienta permitirá al investigador para analizar rápidamente el sistema para ver si hay algunas imágenes gráficas sospechosas en el sistema sospechoso. Muchos formatos gráficos diferentes son reconocidos, y se muestran como miniaturas.

26

Traducido por Sykrayo España

Barra de menús Además de los iconos, todas las funciones son accesibles directamente desde la barra de menú de Helix. Archivo - Permite al usuario salir de la aplicación Helix Inicio rápido - Permite al usuario poner en marcha una herramienta de comandos o el software FTK Imager Página - Permite al usuario saltar directamente a cualquiera de las pantallas de la utilidad Ayuda - Muestra información sobre el programa y el acuerdo de licencia Nota: Ya que estas herramientas se ejecutan directamente desde el CDROM, CD-ROM y la mayoría de girar cuando no esté en uso, al hacer clic en un icono, puede tomar un momento para que el CD-ROM a girar antes de que haya una respuesta de la aplicación. Nota: Todas las herramientas se ejecutan en el mismo nivel que el actual usuario registrado. Los usuarios normales pueden tener muchas restricciones en los que impiden algunas de estas herramientas se ejecute. Acceso al sistema utilizando la cuenta de administrador le proporcionará la más acceso.

27

Traducido por Sykrayo España

Ver información del sistema

Esta pantalla muestra información general sobre el sistema que está siendo investigado. Algunos puntos de interés: "Admin:" nos indica si el usuario actual es el administrador (buena práctica de seguridad para cambiar el nombre de la cuenta de administrador) • "Derechos de administrador" nos hablan de que el usuario actual tiene privilegios de administrador. • "NIC:" es el acceso MAC de la tarjeta de red. Si este valor es "000000000000" que indica que la tarjeta de red está en modo promiscuo, y podría estar capturando todo el tráfico de red en el sistema. • "IP:" es la dirección IP actual - esto podría cambiar si el sistema está configurado para DHCP. • Nombre de las unidades listadas sin información adicional (como A: \, E: \ y G: \ en el ejemplo anterior) indicará típicamente unidades extraíbles sin soporte insertado. • Al hacer clic sobre el pequeño triángulo situado junto al icono de previsualización mostrará la segunda página de la información, que muestra los procesos en ejecución. Al hacer clic en el

28

Traducido por Sykrayo España

triángulo intercambiará el entre las dos páginas de información.

29

Traducido por Sykrayo España

Además de mostrar todos los procesos que se ejecutan en la memoria, haga doble clic en cualquier proceso brindará al usuario la opción de suspender la aplicación seleccionada. Se debe tener cuidado, y el investigador debe asegurarse de que se da por concluido el proceso adecuado. La terminación del proceso en falso podría dar lugar a daños en el sistema y la pérdida de pruebas forenses.

30

Traducido por Sykrayo España

FAQ: ¿Por qué no sólo tiene que utilizar el construido en el "administrador de tareas" para mostrar esta información? Si el sistema ha sido secuestrado por un rootkit, o algún otro programa malicioso, es posible que el Administrador de tareas de Windows se ha modificado para que no muestre el código malicioso. Desde Helix se ejecuta desde el CD, no se puede modificar, y debe ser capaz de mostrar todos los programas actualmente en ejecución en el sistema.

31

Traducido por Sykrayo España

Adquirir una imagen "en vivo" de un sistema Windows mediante dd

Hay dos herramientas proporcionadas para adquirir imágenes de la memoria física o unidades de disco. En la primera página, hay un front-end gráfico para la versión de línea de comandos de dd, una utilidad de duplicación de discos común. En la segunda página, el investigador tiene acceso al FTK Imager de AccessData. La utilidad dd puede capturar la memoria física y las unidades, mientras que FTK Imager sólo puede adquirir las unidades. Además, dd pueden tomar imágenes de más de una red, mientras que FTK Imager sólo puede imagen a dispositivos locales. Al hacer clic sobre el pequeño triángulo situado junto al icono de impresión óptica mostrará el FTK Imager. Al hacer clic en el triángulo intercambiará el entre las dos herramientas de adquisición de imágenes.

Usando dd El campo de origen incluye un cuadro desplegable para el investigador para seleccionar cualquier unidad del sistema. El destino puede ser una unidad extraíble local, una unidad de red o un oyente netcat. El nombre de la imagen es el nombre elegido de usuario y la extensión 32

Traducido por Sykrayo España

estándar es. "Dd".

33

Traducido por Sykrayo España

Las opciones incluyen: • Adjunto / compartido: marque esta opción para guardar la imagen en un disco local o un recurso compartido de red. • NetCat: marque esta opción para transferir la imagen a un servidor netcat se encuentra en la red. Con esta opción, tendrá que especificar la dirección IP y número de puerto del servidor netcat. • Dividir Image: Le permite dividir la imagen en varios archivos si la imagen será superior a la capacidad del medio de almacenamiento. Por ejemplo, si usted es imágenes de un concierto de disco duro 10, se puede dividir la imagen para que quepa en un sistema de archivos de CD-ROM, DVD o FAT 32, que tiene una 4 GB limitación de tamaño de archivo. Una vez que introduzca todos los parámetros y pulsa el botón "Adquirir", una ventana de shell de comandos forense se abrirá. Este intérprete de comandos usa código binario de confianza para evitar que los kits de raíz de la manipulación de la imagen que se está creando.

Ahora puede pegar la línea de comando dd en la cáscara haciendo clic derecho y seleccionando "Pegar" en el menú contextual. Pulse Enter para ejecutar el comando.

34

Traducido por Sykrayo España

Una vez finalizado el mandato, habrá 3 archivos en el directorio de destino: • filename.dd - La imagen del disquete • filename.dd.md5 - Un archivo que contiene el MD5 del archivo de imagen. • Audit.log - un archivo que contiene el comando y la salida del programa.

35

Traducido por Sykrayo España

FTK Imager "FTK Imager es una vista previa de datos y herramienta de imagen que le permite evaluar rápidamente las pruebas electrónicas para determinar si un análisis con AccessData ® Forensic Toolkit ® (FTK ™) está garantizado. FTK Imager también puede crear copias perfectas (imágenes forenses) de datos de la computadora sin realizar cambios en los datos originales. "(Acceso a datos de 2005) De acuerdo con el archivo de Ayuda de imagen FTK (Data Access, 2005), se puede: · Vista previa de archivos y carpetas en los discos duros locales, disquetes, discos Zip, CD y DVD. · Crear imágenes forenses de discos duros locales, disquetes, discos Zip, CD y DVD. · Vista previa de los contenidos de las imágenes forenses almacenados en el equipo local o en una unidad de red. · Archivos y carpetas Exportar. · Generar informes hash de los archivos regulares e imágenes de disco (incluyendo los archivos dentro de imágenes de disco). Para acceder a la FTK Imager, seleccione la segunda página de la página de adquisición de imágenes. Esta página mostrará las notas de la versión actual de la herramienta. Haga clic en "Imager" para lanzar la aplicación real.

36

Traducido por Sykrayo España

37

Traducido por Sykrayo España

Nota: FTK Imager ahora también puede ser lanzado a través del menú de inicio rápido en la pantalla principal. La FTK Imager es una herramienta potente y flexible. Puede ser utilizado para examinar los medios de comunicación y las imágenes, y se extrajo archivos borrados. Cuenta con amplia información disponible a través del menú Ayuda o en el icono de signo de interrogación en la barra de herramientas. Para ver cómo crear una imagen del disco utilizando FTK Imager, consulte Lab 1b - Crear Imagen de un disquete sospechoso (Windows, FTK Imager).

38

Traducido por Sykrayo España

Herramientas de gestión de crisis para los sistemas Windows

Este panel proporciona al investigador una serie de herramientas para responder a los incidentes. Hay tres páginas a este panel, el resto de páginas se puede acceder haciendo clic en los triángulos pequeños junto al icono de Respuesta a Incidentes en la barra de herramientas de la izquierda. Las herramientas incluyen: • Forense de Windows Toolchest (WFT) • Colección de informes de respuesta a incidentes (IRCR2) • Disco Evidencia de First Responder (FRED) • First Responder Utilidad (FRU) • Los informes de seguridad (SecReport) • Md5 Generador • Comando de Shell - un shell de comandos válida a efectos legales • File Recovery - Recuperar archivos borrados • Rootkit Revealer - detectar la presencia de rootkits en el sistema • Servidor VNC • Masilla SSH • Captura de Pantalla • Messenger Password • Mail Password Viewer • Visor de almacenamiento protegido 39

Traducido por Sykrayo España

Network Password Viewer

40

Traducido por Sykrayo España

• • • • •

Registry Viewer Asterisk Logger IE History Viewer IE Cookie Viewer Mozilla Cookie Viewer

La segunda la página de Servicios

La tercera la página de Servicios

41

Traducido por Sykrayo España

Ventanas Forense Toolchest (WFT) La Caja de herramientas de Windows Forense (WFT) fue escrito por Monty McDougal. Está disponible a partir de http://www.foolmoon.net/security/wft/index. Html "El forense Toolchest de Windows (WFT) fue escrito para proporcionar una respuesta automática incidente [o incluso una auditoría] en un sistema Windows y recopilar información relevante para la seguridad del sistema. Se trata esencialmente de una concha de procesamiento por lotes forense mejorada capaz de ejecutar otras herramientas de seguridad y la elaboración de informes basados en HTML de forma válida a efectos legales. Una persona de seguridad bien puede utilizar para ayudar a buscar signos de un incidente (cuando se utiliza junto con las herramientas adecuadas). WFT está diseñado para producir una salida que es útil para el usuario, sino que también es adecuado para su uso en los procedimientos judiciales. Proporciona amplio registro de todas sus acciones, junto con el cálculo de las sumas MD5 en el camino para que su salida es verificable. La principal ventaja de usar WFT para llevar a cabo las respuestas de incidentes es que proporciona una forma simplificada de secuencias de comandos tales respuestas utilizando una metodología sólida para la recopilación de datos. "(McDougal, 2005) Cuando se inicia el programa WFT, se le pedirá una carpeta de salida. El investigador debe apuntar a una carpeta de medios extraíbles (disquetes, zip, dispositivo USB) o una carpeta compartida en la red para evitar que la herramienta de modificación de la unidad sospechosa. Una vez seleccionada la carpeta, el programa le preguntará al usuario si desea ejecutar algunas utilidades colección detalladas? Éstos pueden llegar a durar una hora o más para ejecutar, en función del sistema del sistema, la cantidad de RAM, y muchos otros factores.

A continuación, el programa le preguntará si el usuario desea ejecutar algunos programas que pueden escribir la información en el sistema del sospechoso. Estas herramientas pueden poner en peligro la integridad del sistema, por lo que esta opción se debe utilizar con cuidado. Por último, el programa mostrará el comando y pedir conformación. 37

Traducido por Sykrayo España

Una vez que el usuario hace clic en "Sí", una herramienta de comandos se abrirá, y el proceso de recolección se iniciará. Dependiendo de las opciones seleccionadas, el proceso de recogida puede tardar desde unos pocos minutos a unas pocas horas. Una vez que la colección está terminado, el usuario será devuelto al programa de la hélice. Si el usuario examina la carpeta de destino, hay un ahora un archivo "index.html". Este archivo se puede examinar con un navegador de su elección. Para evitar la contaminación adicional del sistema sospechoso, que debe ser visto en otro sistema. Un resultado de ejemplo se muestra a continuación.

La salida puede ser navegado utilizar los hipervínculos destacan. WFT produce una impresionante colección de información del sistema. Además, en la ficha Registro muestra los comandos que se han ejecutado y la ficha Config muestra el archivo de configuración WFT. Desde el sitio web: Windows Forense Toolchest (WFT) fue diseñado para ser útil tanto para un administrador de seguridad y como una herramienta para ser utilizado en un tribunal de justicia. Uno de los temas más importantes que intervienen en un proceso judicial es asegurarse de que usted tiene un registro adecuado de todas las acciones que se han tomado. También es necesario disponer de las medidas de protección adecuadas para garantizar que los datos presentados no han sido alterados. WFT busca cumplir con ambos requisitos. Una de las características más importantes de WFT es el hecho de que los registros de cada actuación que realiza como parte de la ejecución de comandos. 38

Traducido por Sykrayo España

Un investigador forense con Windows Toolchest (WFT) necesitaría un cierto nivel de conocimiento para interpretar los datos producidos por ejecutarlo. Si el archivo de configuración se utiliza correctamente, entonces WFT es auto

39

Traducido por Sykrayo España

documentar hasta cierto punto, ya que cada informe HTML producido tendrá la descripción de la herramienta como parte de su salida. En última instancia, el investigador tiene que tener un conocimiento práctico de las herramientas que se invocan mediante WFT ser capaz de interpretar sus resultados. Principal beneficio de WFT al investigador es su capacidad para proporcionar un guión, respuesta automática, mientras que la promoción de la integridad forense y el registro detallado.

Ventanas Forense Toolchest (WFT) proporciona una salida en dos formatos de datos. Cada uno de ellos sirve a un propósito específico tal como se describe a continuación. La primera y más útil formato de salida HTML. Abrir el archivo index.htm producido por WFT ofrece un fácil de leer y fácil de navegar interfaz para la salida de las distintas herramientas invocados mediante WFT. Cada uno de los informes producidos bajo WFT incluye la suma de comprobación MD5 para el binario que se está ejecutando, la línea de comandos exacta emitida para generar la salida, una descripción de la herramienta, y la salida producida por la herramienta junto con la suma de comprobación MD5 asociado con la salida. Los informes HTML se han diseñado para ser auto-documentado a través del texto que se proporciona en el archivo de configuración. El segundo tipo de salida producida por WFT es la salida de texto sin formato de las herramientas. Este formato permite al espectador ver la salida del comando individual tal y como se produjo. Generalmente es una mala idea, de cualquier manera, manipular los datos que se utilizan como prueba en un tribunal de justicia. WFT busca preservar los datos originales al tiempo que proporciona una versión más fácil de utilizar HTML para su visualización. Las sumas de comprobación MD5 producidos por cada uno de los archivos de 40

Traducido por Sykrayo España

salida durante la recolección constituye una garantía para asegurar la salida puede ser verificada en una fecha posterior.

41

Traducido por Sykrayo España

Colección de informes de respuesta a incidentes (IRCR2) Escrito por John McLeod. Disponible desde http://ircr.tripod.com/ "La colección de informes de respuesta a incidentes es un script para llamar a una colección de herramientas que recoge y / o análisis de datos en un sistema Microsoft Windows. Usted puede pensar en esto como una instantánea del sistema en el pasado. La mayoría de las herramientas están orientadas hacia la recogida de datos en lugar de análisis. La idea de IRCR es que cualquier persona puede ejecutar la herramienta y enviar la salida a un profesional de la seguridad informática especializada para su posterior análisis. "(McLeod, 2005) Para evitar que el sistema sospechoso de ser modificado, esta herramienta envía la salida a un sistema de escucha que está conectado a través de una conexión de red. En el sistema de escucha, es necesario ejecutar netcat. Para este ejemplo, hemos ejecutado el comando en una máquina con la dirección IP 192.168.1.2: nc-l-p 8888> IRCR2OutputReport.txt En el sistema sospechoso, cuando se inicia el programa IRCR2, se le pedirá al usuario la dirección del sistema de escucha.

A continuación, se le pedirá para el puerto del oyente.

Por último, se mostrará el comando y pedir confirmación.

42

Traducido por Sykrayo España

43

Traducido por Sykrayo España

Dependiendo de la velocidad del sistema y la velocidad de la red, este programa puede tomar un tiempo para ejecutar. No es inusual para el programa para generar varios errores. Una vez finalizado el programa, el archivo de salida contendrá un informe detallado del sistema sospechoso. Archivo de salida de muestra
Colección de informes de respuesta a incidentes

Nombre: Nombre del equipo: tal_mc Sistema operativo: Microsoft Windows XP [Versión 5.1.2600] START - Tiempo: 21:30:47.45 Fecha: Lunes 12/12/2005

21:30:47.63 Comando: AT AT lista programada SALIDA: No hay entradas en la lista. 21:30:47.76 Comando: doskey / history MS-DOS historia lista de salida: 21:30:47.87 Comando: ipconfig / all Muestra la información de configuración SALIDA: Configuración IP de Windows Host Name. . . . . . . . . . . . : Tal_mc Sufijo DNS principal. . . . . . . : Tipo de nodo. . . . . . . . . . . . : Enrutamiento IP habilitado mixto. . . . . . . . : No Proxy WINS habilitado. . . . . . . . : No se Adaptador Ethernet VMware Network vmnet8: Sufijo de conexión específica DNS. : Descripción. . . . . . . . . . . : Adaptador de VMware Virtual Ethernet para vmnet8 Dirección física. . . . . . . . . : 00-50-56-C0 00-08 DHCP permitió. . . . . . . . . . . : No se Dirección IP. . . . . . . . . . . . : 192.168.95.1 Máscara de subred. . . . . . . . . . . : 255.255.255.0 Puerta de enlace predeterminada. . . . . . . . . : 21:30:48.15 Comando: MEM.exe / d Muestra la memoria SALIDA uso: Dirección ------000000 000400 000500 000700 Nombre -------Tipo Tamaño -----000400 000100 000200 000370 CON PRN AUX

-----Interrumpir Vector Área de Comunicación ROM DOS Área de Comunicación Datos del sistema Sistema controlador de dispositivo del sistema de controladores de dispositivos System Device Driver

IO

44

Traducido por Sykrayo España

Disco Evidencia de First Responder (FRED) Escrito por el Agente Especial Jesse Kornblum de la Oficina de Investigaciones Especiales de los Estados Unidos Fuerza Aérea. Para obtener más información sobre su trabajo, ver http://research.jessekornblum.com / FRED es la primera evidencia de disco de Responder. Este archivo de MS / DOS lotes recogerá una gran cantidad de información del sistema y guardarla en un archivo de texto. Hay 3 iconos disponibles para FRED que determinan dónde se encuentra el archivo de salida. La tres iconos indican: Dispositivo de Almacenamiento Floppy, Netcat y Otros.

Salida a Floppy Si el sistema sospechoso tiene una unidad de disquete, el primer icono a escribir la información en un disquete. Si el usuario hace clic en "Sí", se crearán dos archivos en el disquete. La salida del informe estará en: \ audit.txt, y la firma MD5 del fichero audit.txt estará en el a: \ audit.MD5.

Salida a través de NetCat El segundo icono se transmite a través de la salida netcat a otro sistema. Esto es útil si el sistema está conectado a una red, y no tiene un disquete. En el sistema de escucha, es necesario ejecutar netcat. Para este ejemplo, hemos ejecutado el comando en una máquina con la dirección IP 192.168.1.2: nc-l-p 8888> FREDOutputReport.txt En el sistema sospechoso, cuando el F.R.E.D. se inicia el programa, se le pedirá al usuario la dirección del sistema de escucha. 45

Traducido por Sykrayo España

A continuación, se le pedirá para el puerto del oyente.

Por último, se mostrará el comando y pedir confirmación.

Una vez finalizado el programa, pulse <CTRL>-C en el sistema de escucha. El archivo de salida contendrá un informe detallado del sistema sospechoso. A diferencia de las otras dos opciones, esta opción no se creará automáticamente un archivo MD5 para la salida. Ahora debe ejecutar el md5sum en el registro de auditoría adquirida, y guardar ese número. No modifique el archivo original, ya que eso va a cambiar la firma MD5. Se recomienda que el MD5 está escrito en la etiqueta de evidencia para el disquete.

Salida a otro dispositivo de almacenamiento Por último, el tercer icono permitirá al usuario seleccionar la carpeta de salida. Se recomienda que la salida se envía a una unidad extraíble o un recurso compartido de red. La salida no debe ser escrito al sistema del sospechoso, ya que esto puede poner en peligro la integridad del sistema. El programa se confirme el directorio de salida.

46

Traducido por Sykrayo España

47

Traducido por Sykrayo España

El programa entonces confirmar el comando. Si el usuario hace clic en "Sí", se crearán dos archivos en la carpeta de destino. La salida del informe estará en audit.txt, y la firma MD5 del fichero audit.txt estará en el audit.MD5. Archivo de salida de muestra
FRED v1.4 - 6 de octubre de 2005 [modificado para HELIX 10/2005] ================================================= START TIEMPO ================================================= Hora: 21:52:54.84 Fecha: lun 12/12/2005 ================================================= PsInfo ================================================= System información para \ \ TAL_MC: Uptime: 12 días 23 horas 21 minutos 22 segundos versión Kernel: Microsoft Windows XP, multiprocesador libre Tipo de producto: profesionales Versión del producto: 5.1 Service Pack: 1a Kernel número de compilación: 2,600 Organización social: Propietario registrado: 12/22/2004, 06:54:16 AM Estado de activación:: Fecha Instale Activado Versión de IE: 6.0000 Raíz del sistema: C: \ WINDOWS Procesadores: 2 Velocidad del procesador: 3,2 GHz Tipo de Intel (R) Pentium (R) 4 CPU procesador: Memoria física: 1536 MB Controlador de vídeo: Intel (R) 82845G/GL/GE/PE/GV Controlador gráfico NET ================================================= CUENTAS ================================================= Nunca Fuerza cierre de sesión de usuario cuánto tiempo 0 después de que expire el tiempo: la edad mínima 42 de la contraseña (días): Edad máxima de la contraseña (días): Longitud mínima de la contraseña: 0 Longitud de historial de contraseñas mantenido: Ninguno Umbral de bloqueo: Nunca Duración del bloqueo 30 (minutos): Ventana de observación de bloqueo (minutos): 30 Ordenado papel: ESTACIÓN DE TRABAJO r El comando se ha completado satisfactoriamente. NET ================================================= COMPARTIR ================================================= Share nombre Observación de Recursos -------------------------------------------------- ---------------------------- $ IPC IPC remota D $ D: \ Default compartir C $ C: \ Default compartir F $ F: \ Default compartir ADMIN $ C: \ WINDOWS Remote

48

Traducido por Sykrayo España

Admin E $ E: \ Default compartir

49

Traducido por Sykrayo España

First Responder Utilidad (FRU) Escrito por Harlan Carvey. Disponible desde http://www.windows-ir.com/ Tools.html "La primera utilidad Responder (FRU) es utilizado por un primer nivel de respuesta para recuperar los datos volátiles de" sistemas de las víctimas ". La versión actual de la FRU es una herramienta CLI (interfaz de línea de comandos) llamado FRUC. El FRUC funciona con una combinación de un archivo INI y las opciones de línea de comandos. "(Carvey, 2005a) Para evitar que el sistema sospechoso de ser modificado, esta herramienta envía la salida a un sistema de Project Server Forense (FSP) que se conecta a través de un servidor de FSP connection.The red está disponible en el CD de la hélice en el directorio \ IR \ FSP en el FSPC archivo. zip. Una vez FSP se ha instalado en el sistema del investigador, el comando:

C:? Perl FSP> fsp.pl
Se iniciará el server.It FSP mostrará un menú de configuración (Carvey, 2005b). Para obtener más información acerca de la FSP, ver Carvey, HA (2005). Forense de Windows y de recuperación de incidentes. Boston: Addison-Wesley. Capítulo 8 del libro, que trata de la FSP, está disponible como un capítulo de la muestra a partir de: http://awprofessional.com/content/images/ 0321200985/samplechapter/carvey_ch08.pdf

En el sistema sospechoso, cuando se inicia el programa de FRU, se le pedirá al usuario la dirección del sistema de escucha.

A continuación, se le pedirá para el puerto del oyente. Es importante que este puesto número coincide con el número de puerto en el servidor de FSP.

50

Traducido por Sykrayo España

Se le preguntará por la ubicación del archivo fruc.ini. El usuario debe seleccionar el archivo por defecto, a menos que hayan creado su propio archivo fruc.ini.

Por último, se mostrará el comando y pedir confirmación.

Una vez que el usuario hace clic en "Sí", el comando se coloca en el portapapeles.

Cuando se abra la consola de comandos, el usuario debe haga clic en el interior de la misma, y seleccione Pegar para insertar el comando en el shell de comandos.

Al pulsar Intro se ejecutará el comando. La información en el sistema del sospechoso se transferirá ahora al Proyecto Forense servidor Sistema. 51

Traducido por Sykrayo España

SecReport SecReport es una herramienta gratuita disponible en http://members.verizon.net / ~ vze3vkmg/index.htm. "Es una pequeña suite de dos herramientas de línea de comandos para la recopilación de información relacionada con la seguridad del sistema basado en Windows (SecReport) y la comparación de los dos informes de cualquiera de los dos sistemas o de la misma del sistema después de un tiempo (Delta). Yo uso estas herramientas para evaluar rápidamente el nivel de aseguramiento de sistema de Windows y comparar los resultados con el valor basal. Las herramientas son útiles tanto en la administración de la seguridad diaria y durante Responce incidente - para la recolección rápida de información. Las herramientas no necesitan ser instalados en el sistema y se puede ejecutar directamente desde el disco duro o CD-R o una unidad de red (asignada o UNC). Formato de los informes - XML. Los informes se pueden visualizar con el navegador IE 6.0. Archivo hash MD5 de informe creado automáticamente. "(SecReport, 2005) Plataformas compatibles: Windows 2000, XP, 2003 - soporte completo; NT4 (SP6 o posterior) apoyo limitado Helix ofrece al investigador con una interfaz gráfica de la aplicación. Al hacer clic en el SecReport Icono generar la siguiente ventana:

La salida debe ser dirigida a los medios extraíbles para evitar la contaminación del sistema del sospechoso. Introduzca el nombre de la unidad y haga clic en Aceptar.

Información sobre hotfix requiere una conexión rápida a Internet. El valor predeterminado es No. Haga clic en Aceptar para continuar. El mensaje de confirmación showsthe comando y sus parámetros. 52

Traducido por Sykrayo España

Al hacer clic en Sí, se abrirá una consola de comandos, que se ejecutará el comando. Después de unos minutos, el programa se complete y pedir al usuario que presione cualquier tecla para continuar.

Al pulsar cualquier tecla se cerrará la ventana. El investigador encontrará dos archivos de salida en la ubicación especificada. securityreport.xsl es la hoja de estilo para el informe, y el archivo machinename_date.xml. Haga doble clic en el archivo xml. Abrirá el informe en Internet Explorer. Este informe se prolonga por varias páginas, detallando los siguientes datos: • • • • • • • • • • • • Configuración de la red Directiva de auditoría Configuración del registro de eventos Servicios Aplicaciones Hotfixes Puertos abiertos Configuración del archivo de paginación Hardware Procesadores Discos fijos Los puestos de control mixtos 53

Traducido por Sykrayo España

Ejemplo de Salida

54

Traducido por Sykrayo España

Md5 Generador En la página 2 de las herramientas de gestión de crisis, verá un cuadro de entrada que le permitirá generar la firma MD5 de cualquier archivo.

Comience presionando el botón "...". Con ello se abre un gestor de archivos que puede utilizar para seleccionar un archivo.

55

Traducido por Sykrayo España

56

Traducido por Sykrayo España

Seleccione un archivo y una vez que ha sido incluido en el "FILE:" cuadro de texto, el usuario puede hacer clic en "HASH" botón para generar el MD5 del archivo.

57

Traducido por Sykrayo España

Comando de Shell Este es un shell de comandos válida a efectos legales, lo que significa que funciona sólo de confianza, no comprometidos, los binarios que se incluyen en el CD.

El Helix GUI detectará automáticamente y ejecutar el shell de comandos apropiados para el sistema operativo que está en uso. Todos los comandos estándar están disponibles, así como el acceso a las versiones de línea de comandos de muchas de las herramientas forenses incluido en el CD. El comando path mostrará todos los directorios que se buscan para encontrar el comando. Desde hace varios directorios pueden contener comandos con el mismo nombre, si el usuario desea un comando específico, deben especificar la ruta completa al comando específico.
22:32:49.43 I: \ IR> ruta PATH = I: \ IR \ FAU \, I: \ IR \ Cygwin \, I: \ IR \ bin \, I: \ IR \ WFT; I: \ IR \ IRCR \, I: \ IR \ unxu tils \, I: \ IR \ Sysinternals \, I: \ IR \ microsoft \, I: \ IR \ SystemTools \, I: \ IR \ ntsec ureza \, I: \ IR \ perl \, I: \ IR \ Foundstone \, I: \ IR \ 2k \, I: \ IR \ 2k3 \, I: \ IR \ PSF \, I: \ IR \ nt \, I: \ IR \ XP \; I: \ \ IR conchas \, I: \ IR \ NirSoft \, I: \ IR \ windbg \ 22:32:53.43 I: \ IR>

58

Traducido por Sykrayo España

Rootkit Revealer Esta es una herramienta gratuita de SysInternals (http://www.sysinternals.com/Utilities / RootkitRevealer.html). Según el sitio web, "Se ejecuta en Windows NT 4 y superiores, y su salida se enumeran Registro y discrepancias API del sistema de archivos que pueden indicar la presencia de un usuario o modo kernel rootkits. RootkitRevealer detecta correctamente todos los rootkits persistentes publicados en www.rootkit.com, incluyendo AFX, Vanquish y HackerDefender ". ¿Qué es un rootkit? Se trata de una serie de aplicaciones de malware que reemplazan las utilidades estándar de Windows con programas de caballo de Troya, en un intento de hacerse cargo de su sistema. Esto rootkits modifican el sistema operativo para que pueda ocultar con éxito y evitar los medios tradicionales de detección. Por ejemplo, puede modificar el explorador de Windows y los comandos DIR para que el usuario no será capaz de ver el directorio del rootkit es instalado in Además, los rootkits se abren puertas traseras en el sistema para permitir el control remoto del sistema de envío de spam, lanzamiento de ataques de denegación de servicio, o por piratear software. Para obtener más información sobre los rootkits, consulte www.rootkit.com y la página de Microsoft en la investigación rootkit research.microsoft.com / rootkit /. Para ejecutar la aplicación, haga clic en el icono revelador rootkit. En la ventana de confirmación, haga clic en Sí para ejecutar el programa. Aparecerá la ventana principal de exploración.

59

Traducido por Sykrayo España

60

Traducido por Sykrayo España

Al igual que con muchas otras herramientas, este programa sólo se ejecutará en el nivel del usuario actualmente conectado. Sería mejor para ejecutar este como administrador del sistema para obtener resultados más precisos. A continuación se muestra un ejemplo del programa de detección del rootkit HackerDefender (desde el sitio web de Sysinternals).

Una vez finalizada la exploración, el resultado se puede guardar en un archivo utilizando el Archivo / Guardar como opción. Para interpretar los resultados, la siguiente información se toma de la página web de Sysinternals.

Oculto en Windows API.
Estas discrepancias son las exhibidas por la mayoría de los rootkits, sin embargo, si usted no ha comprobado los archivos de metadatos NTFS Ocultar usted debe esperar para ver una serie de tales entradas en cualquier volumen NTFS desde NTFS oculta sus archivos metada como $ MFT y $ Fijar, de la API de Windows. Los archivos de metadatos presentes en volúmenes NTFS varía según la versión de NTFS y las características de NTFS que se han habilitado en el volumen. También hay productos antivirus, como Kaspersky Antivirus, que utilizan técnicas de rootkit para ocultar los datos se almacenan en secuencias de datos alternativas NTFS. Si está ejecutando un escáner de virus tales verás una Ocultado discrepancia API de Windows para una secuencia de datos alternativa en todos los archivos NTFS. RootkitRevealer no admite filtros de salida por rootkits pueden utilizar ningún tipo de filtro. Por último, si se elimina un archivo durante una exploración también puede ver esta discrepancia. Esta es una lista de los archivos de metadatos NTFS definidos como de Windows Server 2003:

• • • •

$ AttrDef $ BadClus $ BadClus: $ Malo $ BitMap

61

Traducido por Sykrayo España

• • • •

$ Boot $ Archivo de registro $ Mft $ Su espejo

62

Traducido por Sykrayo España

• • • • • • • • •

$ Secure $ Upcase $ Volumen $ Extend $ Extend \ $ Reparse $ Extend \ $ ObjId $ Extend \ $ UsnJrnl $ Extend \ $ UsnJrnl: $ Max $ Extend \ $ Quota

Acceso denegado.
RootkitRevealer nunca debe reportar esta discrepancia, ya que utiliza los mecanismos que le permiten acceder a cualquier archivo, directorio o clave de registro en el sistema.

Visible en la API de Windows, el índice del directorio, pero no en la MFT. Visible en la API de Windows, pero no en MFT o índice de directorio. Visible en la API de Windows, MFT, pero no en el índice de directorio. Visible en el índice del directorio, pero no la API de Windows o MFT.
Un análisis del sistema de archivos consta de tres componentes: el API de Windows, el NTFS Tabla maestra de archivos (MFT), y el índice NTFS estructuras de directorio en disco. Estas discrepancias indican que un archivo aparece en sólo una o dos de las exploraciones. Una razón común es que un archivo se crea o elimina durante las exploraciones. Este es un ejemplo de informe de discrepancia de RootkitRevealer para un archivo creado durante el análisis: C: \ newfile.txt 3/1/2005 17:26 8 bytes Visible en la API de Windows, pero no en MFT o índice de directorio.

Ventanales API no es coherente con los datos de la colmena primas.
Los rootkits se tratan de esconderse al tergiversar el tamaño de un valor de registro para que su contenido no es visible para la API de Windows. Usted debe examinar cualquier discrepancia, aunque también puede aparecer como consecuencia de los valores del Registro que cambian durante el análisis.

Escriba desajuste entre la API de Windows y los datos de la colmena primas.
Los valores del registro tienen un tipo, tales como DWORD y REG_SZ, y esta discrepancia se observa que el tipo de un valor como se informó a través de la API de Windows difiere de la de los datos de la colmena primas. Un rootkit puede enmascarar sus datos mediante el almacenamiento como un valor REG_BINARY, por ejemplo, y haciendo que la API de Windows creen que es un valor REG_SZ; si se almacena un 0 en el inicio de los datos de la API de Windows no será capaz de acceder los datos posteriores.

Nombre de clave contiene valores null incrustados.
La API de Windows trata los nombres clave como cadenas terminadas en cero, mientras que el kernel las trata como hilos contados. Así, es posible crear las claves del Registro que son visibles para el sistema operativo, sin embargo, sólo parcialmente visible a las herramientas de registro como Regedit. El código de ejemplo Reghide en Sysinternals muestra esta técnica, que se utiliza tanto por malware y rootkits para ocultar los datos del Registro.

63

Traducido por Sykrayo España

Discrepancia de datos entre la API de Windows y los datos de la colmena primas.
Esta discrepancia se produce si el valor del registro se actualiza, mientras que la exploración del registro está en curso. Los valores que cambian con frecuencia incluyen marcas de tiempo, tales como el valor de Microsoft SQL Server uptime, se muestra a continuación, y un escáner de virus "última

64

Traducido por Sykrayo España

escanear "los valores. Usted debe investigar cualquier valor reportado para asegurar que es una aplicación o sistema de valores del Registro válida. HKLM \ SOFTWARE \ Microsoft \ Microsoft SQL Server \ RECOVERYMANAGER \ MSSQLServer \ uptime_time_utc 3/1/2005 16:33 8 bytes

Esta herramienta sólo le ayudará a encontrar rootkits, y no eliminarlos. Dependiendo de la naturaleza de la investigación, necesita la detección del rootkit para ser documentado, y el sistema conservaron para su posterior investigación. Si el investigador cree que ha encontrado un rootkit, y el rootkit necesita ser eliminado del sistema de producción, normalmente hay sólo dos maneras de eliminar el rootkit. La primera consiste en buscar en la web para encontrar las instrucciones de eliminación, y el segundo es volver a formatear todo el sistema de una reinstalación de Windows desde una fuente confiable.

65

Traducido por Sykrayo España

Recuperación de archivos Este botón lanza PC Inspector File Recovery desde http://www.pcinspector.de / file_recovery / UK / welcome.htm.Esta utilidad freeware puede ser utilizado para detectar y recuperar archivos borrados. Es compatible con la recuperación de archivos de FAT 12/16/32 y NTFS. [Nota del Autor: La versión 4.0 ya está disponible]. Según el sitio web, se puede encuentra particiones automáticamente, incluso si el sector de arranque o FAT ha sido borrado o dañado; Recupera archivos con el tiempo original y fecha; Soporta el ahorro de los archivos recuperados en unidades de red; Recupera archivos, incluso cuando un entrada de la cabecera ya no está disponible. Productos de la competencia no pueden recuperar estos archivos. La "Función Especial de Recuperación" soporta los siguientes formatos de disco: ARJ AVI BMP CDR DOC DXF DBF XLS EXE GIF HLP HTML HTM JPG LZH MID MOV MP3 PDF PNG RTF TAR TIF WAV ZIP. Si el disco duro no es reconocido por la BIOS, o tiene problemas mecánicos (como sonidos de rechinar), este programa no va a ser capaz de ayudar. Para utilizar el programa, haga clic en el icono de la recuperación de archivos, y responder que sí al diálogo de confirmación. El programa principal se iniciará y abrirá un asistente para la recuperación de archivos. El programa permite al investigador para seleccionar el idioma de su elección.

66

Traducido por Sykrayo España

Aparecerá la ventana principal, que da varias opciones.

Al hacer clic en cualquiera de las opciones que va a escanear el sistema y presentar una lista de las unidades reconocidas.

67

Traducido por Sykrayo España

Seleccione la unidad de examinar. Para continuar, seleccione el icono de marca de verificación verde. Cada opción dará diferentes métodos sobre cómo recuperar los datos. En las opciones recuperados archivos eliminados, el programa mostrará una interfaz similar al Explorador de Windows.

En esta pantalla, en las carpetas borrados, vemos que podemos recuperar el archivo _ULA.PDF. Para recuperar el archivo, haga clic derecho sobre el nombre del archivo y seleccione "Guardar en ..."

68

Traducido por Sykrayo España

También hay otras opciones, como se presentan las propiedades, cambiar el nombre del archivo y la visualización, ya sea como un volcado hexadecimal o como un archivo de texto.

69

Traducido por Sykrayo España

Servidor VNC http://www.realvnc.com/ Desde el sitio web: VNC significa Virtual Network Computing. Es un software de control remoto que le permite ver e interactuar con un ordenador (el "servidor") mediante un sencillo programa (el "espectador") en otro equipo en cualquier lugar en Internet. Los dos equipos ni siquiera tienen que ser del mismo tipo, por lo que, por ejemplo, puede usar VNC para ver una máquina Linux la oficina en su PC con Windows en casa. Para utilizar VNC, haga clic en el icono junto al servidor VNC. Esta opción permite a VNC modificar el registro para que pueda utilizar el PuTTY SSH para comunicaciones cifradas proporcionadas. Después de tomar su decisión, que proporcionará un mensaje de confirmación:

Haga clic en Sí para continuar. WinVNC se abrirá un cuadro de propiedades. En su mayor parte, puede dejar como está, con una excepción. Debe introducir una contraseña en el cuadro de diálogo de contraseña. VNC servidor no aceptará conexiones entrantes sin contraseña.

Para acceder a este sistema desde otro lugar, puede utilizar un visor de VNC o un navegador web. Para utilizar un navegador de Internet (en el sitio web real VNC): Los servidores VNC también contienen un pequeño servidor web. Si se conecta a este con un navegador web, puede descargar la versión Java del espectador, y utilizar esta opción para ver el servidor. A continuación, puede ver su escritorio desde cualquier navegador con Java, a menos que esté utilizando un servidor proxy para conectarse a la web. El servidor escucha las conexiones HTTP en el puerto 5800 + número de pantalla. Así que para ver la pantalla de 2 en la máquina 'Snoopy', debe apuntar su navegador web:

70

Traducido por Sykrayo España

http://snoopy:5802/ El applet se pedirá su contraseña,

71

Traducido por Sykrayo España

y luego debe mostrar el escritorio. Desde el visor, debe ahora tener el control total del sistema que el servidor se está ejecutando. Esto es útil si el sistema que está examinando y el sistema que se utiliza para recoger la fecha están demasiado separados trabajar en ellos al mismo tiempo.

72

Traducido por Sykrayo España

PuTTY SSH Escrito y mantenido principalmente por Simon Tatham. Está disponible a partir de http://www.chiark.greenend.org.uk/ ~ sgtatham/ Putty / Desde el sitio web: PuTTY es una implementación libre de Telnet y SSH para plataformas Win32 y Unix, junto con un emulador de terminal xterm. Esta herramienta permite que el usuario de inicio de sesión remota para ejecutar comandos de un sistema remoto y. Esto se puede utilizar para iniciar sesión en un sistema remoto y ejecutar un oyente netcat. El sistema remoto debe tener un servidor SSH en funcionamiento. Una vez seleccionado, el programa mostrará una confirmación.

Al hacer clic en "Yes" se lanzará el programa SSH PuTTY y mostrar la ventana de configuración. Para operaciones normales, el usuario sólo debe tener que introducir el nombre de host o dirección IP y haga clic en "Open".

73

Traducido por Sykrayo España

Captura de Pantalla http://www.hoverdesk.net/freeware.htm Desde el sitio web: HoverSnap es una herramienta gratuita con handy snapshot jpg, png, bmp y gif apoyo. HoverSnap puede tomar instantáneas de la pantalla completa, ventana activa o un área seleccionada. Incluso puede capturar ventanas superpuestas (los alphablended bajo 2K / XP). Usted puede incluso FTP subir tus capturas de pantalla. Además, puede configurar la carpeta de captura / nombre de archivo y el formato, reducir el tamaño de captura, y la opción de nombre generar automáticamente añadirá la marca de tiempo (fecha / hora) a su nombre con el fin de ser capaz de tomar varias capturas sin tener para cambiar el nombre del archivo. Cuando se selecciona el icono HoverSnap, presentará un mensaje de confirmación. Cuando el usuario hace clic en "Sí", habrá un icono HoverSnap en la bandeja del sistema. Si hace clic en este icono, se mostrará la pantalla de configuración. Se recomienda cambiar la carpeta de destino en la unidad de recolección de evidencia extraíble. Además, consultar la sección "Generación automática de nombre de archivo en la nueva captura" opción creará automáticamente nombres de archivo que comienzan con el nombre en el cuadro nombre de archivo y agregar automáticamente un sello de fecha y hora al nombre del archivo. Este es un ejemplo del archivo autogenerado: Capture12-12-2005-15.11.55 PM.png Para capturar la pantalla completa, el usuario presiona el botón PrintScreen. Para capturar la ventana activa, presione ALT + PrintScreen, y para seleccionar un área personalizada, pulse CTRL + PrintScreen. Con CTRL + PrintScreen, el cursor cambiará a una crosshair.Move el cursor a la esquina superior izquierda, a continuación, haga clic y mantenga pulsado el botón izquierdo del ratón y arrastre el cursor hasta el la esquina inferior derecha. Suelte el botón

64

Traducido por Sykrayo España

del ratón para tomar la fotografía. Una vez que haya terminado las capturas de pantalla, debe generar el MD5 de la pantalla para asegurarse de que no se modifican.

65

Traducido por Sykrayo España

Messenger Password http://www.nirsoft.net/utils/mspass.html Desde el sitio web: MessenPass es una herramienta de recuperación de contraseña que revela las contraseñas de las siguientes aplicaciones de mensajería instantánea:
• • • • • • • • •

MSN Messenger Windows Messenger (en Windows XP) Yahoo Messenger (versiones 5.xy 6.x) ICQ Lite 4.x/2003 AOL Instant Messenger (sólo versiones mayores, la contraseña en las últimas versiones de AIM no se puede recuperar) AOL Instant Messenger / Netscape 7 Trillian Miranda GAIM

MessenPass sólo se puede utilizar para recuperar las contraseñas para el actual usuario ha iniciado sesión en el equipo local. No se puede utilizar para el acaparamiento de las contraseñas de otros usuarios. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmación.

Una vez que el usuario hace clic en "Sí", el programa se iniciará automáticamente y mostrará todas las contraseñas que pueda encontrar.

66

Traducido por Sykrayo España

Desde la página web: Al ejecutar MessenPass, que detecta automáticamente las aplicaciones de mensajería instantánea instalado en su ordenador, descifra las contraseñas que se almacena y muestra todos los pares de nombre de usuario / contraseña que se encuentra en la ventana principal de MessenPass. Si de alguna razón, MessenPass no puede localizar la aplicación de mensajería instantánea instalado, usted puede tratar de seleccionar manualmente la carpeta correcta de su aplicación de mensajería instantánea mediante la opción "Carpetas Seleccione '(en el menú Archivo). En la ventana principal de MessenPass, puede seleccionar uno o más elementos de contraseña, y luego copiarlos al portapapeles en formato delimitado por tabulaciones (se puede pegar este formato en Excel u Open ejercicio de hoja de cálculo), o guardarlos en text / html archivos.

67

Traducido por Sykrayo España

Mail Password Viewer http://www.nirsoft.net/utils/mailpv.html Desde el sitio web: Mail PassView es una pequeña herramienta de recuperación de contraseña que revela las contraseñas y otros detalles de la cuenta para los siguientes clientes de correo:
• • • • • • • • • • •

Outlook Express Microsoft Outlook 2000 (POP3 y SMTP Cuentas únicamente) Microsoft Outlook 2002/2003 (POP3, IMAP, HTTP y SMTP Cuentas) IncrediMail Eudora Netscape 6.x/7.x Mozilla Thunderbird Grupo de Correo Gratis Yahoo! Mail - Si la contraseña se guarda en la aplicación Yahoo! Messenger. Correo de Hotmail / MSN - Si la contraseña se guarda en la aplicación MSN Messenger. Gmail - Si la contraseña se guarda mediante la aplicación Gmail Notifier.

Para cada cuenta de correo electrónico, se muestran los siguientes campos: Nombre de la cuenta, de aplicaciones, de correo electrónico, servidor, tipo de servidor (POP3/IMAP/SMTP), nombre de usuario y la contraseña. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmación.

Una vez que el usuario hace clic en "Sí", el programa se iniciará automáticamente y mostrará todas las contraseñas que pueda encontrar.

68

Traducido por Sykrayo España

Proteja Visor de almacenamiento http://www.nirsoft.net/utils/pspv.html Desde el sitio web: Protected Storage PassView es una pequeña utilidad que revela las contraseñas almacenadas en el ordenador a través de Internet Explorer, Outlook Express y MSN Explorer. Las contraseñas se revelan mediante la lectura de la información del almacenamiento protegido. A partir de la versión 1.60, esta utilidad muestra todas las cadenas de Autocompletar almacenadas en Internet Explorer, no sólo la contraseña de Autocompletar, al igual que en las versiones anteriores. Esta utilidad puede mostrar 4 tipos de contraseñas: 1. Contraseñas de Outlook: Al crear una cuenta de correo en Outlook una cuenta POP3 en Microsoft Outlook Express o, y se elige la opción "Recordar contraseña" en las propiedades de la cuenta, la contraseña se guarda en el almacenamiento protegido, y esta utilidad puede instantáneamente revelarla. Tenga en cuenta que si eliminar una cuenta de Outlook Express existente, la contraseña no se puede quitar de la Almacenamiento protegido. En tal caso, la utilidad no será capaz de obtener el nombre de usuario de la cuenta eliminada, y sólo se muestra la contraseña. A partir de la versión 1.50, se muestran también las contraseñas de las identidades de Outlook Express. 2. Contraseñas de Autocompletar en Internet Explorer: Muchos sitios Web que proporciona una pantalla de inicio de sesión con los campos de contraseña y nombre de usuario. Al iniciar sesión en el sitio Web, Internet Explorer puede preguntarle si usted quiere recordar la contraseña para la próxima vez que inicie sesión en este sitio Web. Si optan por recordar la contraseña, el nombre de usuario y la contraseña se guardan en el almacenamiento protegido, y por lo tanto pueden ser revelados por Protected Storage PassView. En algunas circunstancias, múltiples pares de nombre de usuario y contraseñas se almacenan de la misma ventana de inicio de sesión. En tal caso, las contraseñas adicionales se muestran como sub-elementos del primer par usuario-contraseña. En los subtemas, el nombre del recurso se muestra como 3 puntos ('...') 3. Sitios protegidos con contraseña en Internet Explorer: Algunos sitios Web le permite iniciar sesión con "autenticación básica" o la autenticación "desafío / respuesta". Al entrar en el sitio Web, Internet Explorer muestra un cuadro de diálogo de inicio de sesión especial y le pide que introduzca su nombre de usuario y contraseña. Internet Explorer también le da la opción de guardar el par de nombre de usuario / contraseña para la próxima vez que ingrese-on. Si decide guardar los datos de inicio de sesión, el nombre de usuario y la contraseña se guardan en el almacenamiento protegido, y por lo tanto pueden ser revelados por Protected Storage PassView. En esta categoría, también puede encontrar las contraseñas de servidores FTP. 4. MSN Explorer Passwords: El navegador MSN Explorer almacena 2 tipos de contraseñas en el almacenamiento protegido: o Contraseñas Sign-up o Autocompletar contraseñas 69

Traducido por Sykrayo España

Por defecto, esta utilidad muestra los 4 tipos de contraseñas. Usted puede optar por mostrar u ocultar un tipo específico de contraseña, eligiendo el tipo de contraseña desde el menú View. Esta utilidad sólo puede mostrar las contraseñas de la actual usuario registrado. no puede revelar las contraseñas de otros usuarios.

70

Traducido por Sykrayo España

Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmación.

Una vez que el usuario hace clic en "Sí", el programa se iniciará automáticamente y mostrará todas las contraseñas que pueda encontrar.

La información de Protected Storage se guarda en un lugar especial en el Registro. La base fundamental del almacenamiento protegido se encuentra en la siguiente clave: "HKEY_CURRENT_USER \ Software \ Microsoft \ Protected Storage System Provider" Usted puede navegar por encima de la clave en el Editor del Registro (Regedit), pero usted no será capaz de ver las contraseñas, ya que están encriptados. Además, algunos datos de contraseñas están ocultas por el sistema operativo.

71

Traducido por Sykrayo España

Network Password Viewer http://www.nirsoft.net/utils/network_password_recovery.html Desde el sitio web:. Cuando se conecta a un recurso compartido de red de la LAN o de tu cuenta de Passport, Windows XP le permite guardar su contraseña para poder utilizarlo en cada vez que se conecta al servidor remoto. Esta utilidad recupera todas las contraseñas de red almacenados en su sistema para el actual usuario registrado. Qué contraseñas esta utilidad puede recuperar? • Entre las contraseñas de los ordenadores remotos en su red LAN. • Las contraseñas de cuentas de correo en Exchange Server (almacenadas por Outlook 2003) • Contraseña de la cuenta de MSN Messenger (sólo hasta la versión 7.0, para las versiones más recientes - Utilizar MessenPass) Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmación.

Una vez que el usuario hace clic en "Sí", el programa se iniciará automáticamente y mostrará todas las contraseñas que pueda encontrar.

72

Traducido por Sykrayo España

Registry Viewer http://www.nirsoft.net/utils/regscanner.html Desde el sitio web: RegScanner es una pequeña utilidad que te permite explorar el registro, encontrar los valores del registro que desee que coincidan con los criterios de búsqueda especificados, y mostrarlos en una lista. Después de encontrar los valores del registro, usted puede saltar fácilmente al valor justo en RegEdit, simplemente haciendo doble clic en el elemento del registro deseado. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmación.

Una vez que el usuario hace clic en "Sí", el programa se iniciará y mostrará la página Opciones de exploración del registro automáticamente. Esto puede ser usado para limitar las búsquedas, que puede acelerar enormemente el proceso.

Una vez que el usuario hace clic en "OK", el explorador mostrará las claves de registro que coincidan con sus opciones. 73

Traducido por Sykrayo España

74

Traducido por Sykrayo España

IE History Viewer http://www.nirsoft.net/utils/iehv.html Desde el sitio web: Cada vez que se escribe una dirección URL en la barra de direcciones o haga clic en un enlace en el navegador Internet Explorer, la dirección URL se agrega automáticamente al archivo de índice de la historia. Cuando se escribe una secuencia de caracteres en la barra de direcciones de Internet Explorer que todas las URL que comienza con la secuencia de caracteres que ha escrito (a menos característica Autocompletar para direcciones Web se apaga) sugiere automáticamente. Sin embargo, Internet Explorer no le permite ver y editar toda la lista de URL que se almacena en el archivo histórico. Esta utilidad lee toda la información del archivo histórico en el equipo, y muestra la lista de todas las URL que ha visitado en los últimos días. También le permite seleccionar una o varias direcciones URL, y luego eliminarlos del archivo histórico o guardarlos en texto, HTML o XML. Además, se le permite ver la lista de URL visitada de otros perfiles de usuario en el equipo, e incluso acceder a la lista de URL visitadas en un equipo remoto, siempre y cuando tenga permiso para acceder a la carpeta de historial. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmación.

Una vez que el usuario hace clic en "Sí", el programa mostrará automáticamente el historial de URL.

75

Traducido por Sykrayo España

76

Traducido por Sykrayo España

Asterisk Logger http://www.nirsoft.net/ Desde el sitio web: Muchas aplicaciones, como CuteFTP, CoffeeCup Free FTP, VNC, IncrediMail, Outlook Express, y otros, le permite teclear una contraseña para su uso en la aplicación. La contraseña introducida no aparece en la pantalla, y en lugar de la contraseña real, ver una secuencia de asterisco ('****') caracteres. Esta utilidad puede revelar las contraseñas almacenadas detrás de los asteriscos en la contraseña cuadros de texto estándar. Asterisk Logger es un sucesor de la utilidad AsterWin. Se revela las contraseñas asterisco de la misma manera como la utilidad AsterWin, pero tiene algunas ventajas sobre la utilidad anterior:

Usted no tiene que pulsar un botón para revelar las contraseñas asterisco. Cada vez que se abre una nueva ventana que contiene un cuadro de contraseña, Asterisk Logger revela automáticamente la contraseña en el interior de la caja de contraseña, y añadir un registro a la lista de contraseñas en la ventana principal de Asterisk Logger. Asterisk Logger muestra información adicional acerca de la contraseña de revelado: La fecha / hora que la contraseña se reveló el nombre de la aplicación que contiene el cuadro de contraseña revelada, y el archivo ejecutable de la aplicación. Asterisk Logger le permite al guardar las contraseñas en un archivo HTML y 3 tipos de

archivos de texto. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmación.

Una vez que el usuario hace clic en "Sí", el programa se iniciará automáticamente y mostrará todas las contraseñas que pueda encontrar.

77

Traducido por Sykrayo España

78

Traducido por Sykrayo España

IE Cookie Viewer http://www.nirsoft.net/ Utils / iecookies.html Desde el sitio web: IECookiesView es una pequeña utilidad que muestra los detalles de todas las cookies que se Internet Explorer almacena en su computer.In Además, le permite realizar las siguientes acciones:
• • • • • • •

Ordenar la lista de cookies por cualquier columna que desea, haga clic en el encabezado de la columna. Un segundo clic en el tipo de columna en orden descendente. Encontrar una galleta en la lista especificando el nombre del sitio Web. Seleccionar y eliminar las cookies no deseadas. Guarde las galletas en un archivo de texto legible. Copiar información de las cookies en el portapapeles. Actualizar automáticamente la lista de cookies cuando un sitio Web le envía una cookie. Mostrar las cookies de otros usuarios y de otros equipos.

Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmación.

Una vez que el usuario hace clic en "Sí", el programa mostrará automáticamente las cookies en el sistema.

79

Traducido por Sykrayo España

Mozilla Cookie Viewer http://www.nirsoft.net/utils/mzcv.html Desde el sitio web: MozillaCookiesView es una alternativa a la norma 'Cookie Manager "proporcionado por Netscape y Mozilla. Muestra los detalles de todas las cookies almacenadas en el archivo de cookies (cookies.txt) en una mesa, y le permite guardar la lista de cookies en texto, HTML o XML, eliminar las cookies no deseadas, y una copia de seguridad / restaurar el archivo de cookies. Cuando el usuario hace clic en el icono, Helix presenta un mensaje de confirmación.

Una vez que el usuario hace clic en "Sí", el programa mostrará automáticamente las cookies en el sistema.

80

Traducido por Sykrayo España

Los documentos relativos a la gestión de crisis, Informática Forense, Ordenador Seguridad y Delitos Informáticos En esta sección se proporciona al usuario el acceso a algunos documentos de referencia comunes en formato PDF. Los documentos incluyen un formulario de cadena de custodia, la conservación de los datos probatorios digital, Guía forense Linux para principiantes, y el examen forense para la guía de la evidencia digital. Estos documentos son muy recomendables, y el investigador deben revisar antes de realizar cualquier examen forense.

Estos documentos se puede acceder haciendo clic en su respectivo icono.

Cadena de Custodia Se trata de una cadena de custodia de la muestra de la forma utilizada en las investigaciones forenses por correo fense.inc. No debe ser una cadena independiente de la forma de custodia creadas para cada una de las pruebas recogidas. 81

Traducido por Sykrayo España

82

Traducido por Sykrayo España

Preservación de Evidencia Digital El título completo de este artículo es "Preservación de Evidencia Digital Frágil por equipos de respuesta", y fue escrito por el Agente Especial Jesse Kornblum, Fuerza Aérea Oficina de Investigaciones Especiales en 2002. De la Introducción: La naturaleza de las pruebas por ordenador hace inherentemente frágil. Los datos pueden ser borrados o cambiados sin dejar rastro, lo que dificulta el trabajo de un investigador para encontrar la verdad. Los esfuerzos de los primeros en responder son críticos para asegurar que el pruebas se recopila y conserva de forma sencilla, segura y válida a efectos legales. Este documento describe los retos primera cara respondedores y algunas estrategias para lidiar con ellos. A modo de ejemplo, el documento también detalla una herramienta de ejemplo para casos de emergencia a los incidentes en los equipos basados en Windows. Este documento también se describe la creación de FRED, Evidence disco de la primera respuesta, que se incluye en el disco de la hélice. Mientras FRED se ha actualizado de manera significativa desde este trabajo fue publicado originalmente, este documento proporciona la información básica sobre la forma de preservar la mayor cantidad posible de pruebas, mientras que molestar lo menos posible.

Guía de Linux Forense para principiantes Uno de los primeros y más extensa guía sobre el uso de Linux para el análisis forense, "la aplicación de la ley y el examinador forense Introducción a Linux: Guía de un principiante", de Barry J. Grundy, agente especial de la Oficina del Inspector General de la NASA, División de Delitos Informáticos. En primer escrito

83

Traducido por Sykrayo España

en 1998, la revisión más reciente fue en 2004. Si bien esto no es Helix específico, proporciona una gran cantidad de información de referencia para los investigadores que están dispuestos a arrancar en el entorno de arranque de Linux Helix.

84

Traducido por Sykrayo España

Del prólogo: El propósito de este documento es proporcionar una introducción al sistema operativo GNU / Linux (Linux) como una herramienta de análisis para los investigadores de delitos informáticos. Hay mejores libros escritos sobre el tema de Linux (por mejores profesionales cualificados), pero mi esperanza aquí es proporcionar un único documento que permite al usuario sentarse en el intérprete de comandos (símbolo del sistema) por primera vez y no ser abrumado por un libro de 700 páginas. Herramientas disponibles a los investigadores para el análisis forense se presentan con ejercicios prácticos. Esto es de ninguna manera pretende ser la definitiva "cómo hacer" en los métodos forenses utilizando Linux. Más bien, es un punto de partida para aquellos que están interesados en la búsqueda de la auto-educación que se necesita para ser competente en el uso de Linux como herramienta de investigación. No todos los comandos que se ofrecen aquí va a funcionar en todas las situaciones, pero con la descripción de los comandos básicos de que dispone un investigador espero para "empezar a rodar la pelota". Voy a presentar los comandos, el lector tiene que dar seguimiento a las opciones y aplicaciones más avanzadas. Sabiendo cómo estos comandos de trabajo es tan importante como saber qué escribir en el prompt. Si usted es incluso un usuario Linux intermedia, entonces mucho de lo que está contenido en estas páginas habrá revisión. Aún así, espero que encuentres algo de ella útil. En el último par de años he escuchado varias veces de colegas que han tratado de Linux con la instalación, y luego procedió a sentarse y preguntarse "¿y ahora qué?" Usted tiene una copia de esta introducción. Ahora descargar los ejercicios y conducir en.

El examen forense de evidencia digital Publicado en abril de 2004 por el Departamento de Justicia de EE.UU., Oficina de Programas de Justicia, Instituto Nacional de Justicia, este informe especial "El examen forense de evidencia digital: una guía para la aplicación de la ley", establece el investigador forense digital de una guía detallada sobre cómo recoger , evidencia digital de procesos y documentos. Del prólogo: Ayudar a los organismos policiales y fiscalías, una serie de guías que se ocupan de la evidencia digital ha sido seleccionada para abordar el proceso de investigación completo. Este proceso se expande desde la escena del crimen a través del análisis y, finalmente, en la sala del tribunal. Las guías resumen la información de un grupo selecto de profesionales que están bien informados sobre el tema. Estos grupos son más comúnmente conocidas como grupos de trabajo técnicos. Esta guía es el segundo de una serie.

85

Traducido por Sykrayo España

La primera guía, Electronic Crime Scene Investigation: Guía para equipos de respuesta, está disponible a través del sitio Web Instituto Nacional de Justicia en http://www.ojp.usdoj.gov/nij/pubs- sum/187736.htm.

86

Traducido por Sykrayo España

Examinar contenido del CD-ROM y Host Este es un simple explorador de archivos que proporcionará al investigador con información sobre el archivo seleccionado. Se mostrará el nombre del archivo, creado, fechas accedidos y modificados, Atributos, CRC, MD5 y el tamaño del archivo.

Si el "Cálculo de hash MD5 de archivos" está seleccionado, el del hash MD5 también se mostrará con el resto de la información del archivo. Está desactivada de forma predeterminada, ya que a veces puede tomar un tiempo para generar el MD5 para archivos de gran tamaño. Debido a la naturaleza del sistema operativo Windows, la primera vez que seleccione un archivo (en cualquier lectura / escritura de los medios de comunicación, como por ejemplo un disco duro) se mostrará la fecha de acceso del último acceso. Si selecciona el mismo archivo, se mostrará la fecha y hora de la conexión anterior. Esta es una característica del sistema operativo Windows, y no se puede prevenir fácilmente. Este es uno de los problemas con el examen de un sistema en vivo - acciones del investigador pueden modificar el sistema. Aquí está un ejemplo: 87

Traducido por Sykrayo España

En la lista de archivos recuperados, vemos que la fecha de acceso a CONVAR10.jpg es Jueves, 29 de septiembre 2005. Si se selecciona otro archivo, y luego se vuelve a seleccionar CONVAR10.jpg, veremos que los datos de acceso ha cambiado hasta la fecha de hoy. Todo lo demás sigue siendo el mismo.

88

Traducido por Sykrayo España

Analizar en busca de imágenes a partir de un sistema en vivo Esta herramienta permitirá al investigador para analizar rápidamente el sistema para ver si hay algunas imágenes gráficas sospechosas en el sistema sospechoso. Muchos formatos gráficos diferentes son reconocidos, y se muestran como miniaturas. Esta característica se añade para apoyar la "Knock y conversaciones." Esto permite que un oficial de libertad condicional a una vista previa de un sistema de imágenes gráficas que pueden violar la libertad condicional. Cuando se selecciona el análisis de las imágenes icono, aparece la siguiente ventana:

El investigador debe seleccionar "Carpeta de carga" y seleccione la unidad que desea examinar. Tenga en cuenta que, dependiendo del tamaño del disco duro, la cantidad de memoria, y la velocidad del sistema, esto puede tomar un tiempo. Un recordatorio de las ventanas aparece para informar al investigador. El escaneo no se comenzará hasta que se presione el botón "OK". Los investigadores tendrán que examinar cada letra por separado. 89

Traducido por Sykrayo España

Al hacer doble clic en cualquier miniatura abrirá la imagen en el visor local. Puede ampliar o reducir el tamaño de las miniaturas, haga clic en "Ampliar" o "Reducir". Tenga en cuenta que esto va a aumentar o contraer el volumen de todas las miniaturas, y puede tardar unos minutos en completarse, dependiendo del número de imágenes en miniatura. También tenga en cuenta que esta aplicación va a cambiar la hora del último acceso a casi todos los archivos en el sistema, ya que examina los encabezados de los archivos para determinar si el archivo es un gráfico. Nota: La utilidad de imagen de exploración no se encuentra actualmente gif archivos debido a una restricción de licencia antigua, pero se actualizará en breve..

90

Traducido por Sykrayo España

Salir de Helix Hay varias formas de salir de la aplicación Helix. 1. Archivo / Salir de la barra de menú - esto le pedirá guardar un PDF de sus transacciones 2. Haga clic en el botón de cierre de Windows - este le pedirá guardar un PDF de sus transacciones 3. Haga clic en el icono de la hélice en la bandeja del sistema - esto no va a salvar a sus transacciones. Tenga en cuenta que las dos primeras formas de salir se guarde una copia de todas sus transacciones, mientras que la salida desde el icono de la bandeja del sistema no lo hará. Si decide guardar la salida, se le indicará dónde desea guardar el archivo. Se debe guardar en un recurso compartido de red o una unidad de recolección de pruebas extraíbles para evitar cualquier contaminación de la computadora sospechoso. El nombre de archivo predeterminado es Helix_Audit_Log.pdf. Ejemplo de Salida

91

Traducido por Sykrayo España

Helix desde la línea de comandos (Windows Side)
Mientras que la interfaz gráfica de usuario para la hélice en la parte de Windows hace que sea muy fácil de ejecutar muchas de las herramientas, hay quienes sostienen que los pisotea GUI demasiada memoria, y por lo tanto contaminan la escena del crimen. Es posible ejecutar muchas de las herramientas de Windows (pero no todos ellos) a partir de una línea de comandos. Nota: Al realizar una vista previa en vivo de un sistema, muchas de las acciones tomadas pueden y modificar la información de la máquina sospechosa. Este método sólo debe utilizarse cuando el sistema no puede ser tomado fuera de línea. No Inicio de la GUI El Helix GUI está configurado para iniciarse automáticamente mediante el archivo autorun.inf en el CD. Para evitar que la GUI se inicie automáticamente, hay varias técnicas que se pueden utilizar: 1. Mantenga pulsada la tecla SHIFT cuando el CD Helix se inserta en el sistema. 2. Deshabilitar la ejecución automática en el sistema de destino 3. Remaster el CD Helix y eliminar el archivo autorun.inf. Desde un shell de comandos El shell de comandos que necesita para comenzar depende del sistema operativo del host. Los shells de comandos se encuentran en el ¿Ir? directorio del CD. Windows NT \ Ir \ nt Windows 2000 \ Ir \ 2k Windows XP \ Ir \ xp Windows 2003 \ Ir \ 2k3 Diríjase a la guía para su sistema operativo específico y ejecutar el cmd.exe. Este es un binario estático en una CD ROM, por lo que no se ve comprometida por cualquier tipo de malware que se ejecuta en el sistema.

92

Traducido por Sykrayo España

Una vez que el shell de comandos se está ejecutando, es necesario ejecutar un archivo de configuración del entorno, para establecer la ruta de acceso y las variables de entorno para que señale a utilidades en el CD, y no en el sistema de destino.

93

Traducido por Sykrayo España

Dentro de la consola de comandos, ejecute el comando:

cmdenv.bat

Esto restablecerá la ruta del sistema para que apunte a la CD, junto con la adición de caminos para las diversas herramientas forenses.

Ahora debe estar ejecutando en el mismo entorno que si ha seleccionado el "Command Shell" opción de la segunda página del menú de Respuesta a Incidentes en el Helix GUI. Herramientas disponibles desde la línea de comandos La siguiente es una lista de algunas de las herramientas disponibles en la línea de comandos de Windows. Algunas de estas herramientas lanzar una interfaz gráfica de usuario de la aplicación, mientras que otros son herramientas de línea de comandos puros. Algunas de estas herramientas son muy poderosos, y pueden ser muy destructivos, así que mucho cuidado al usarlos. 2hash-v0-2w9xMD5 y SHA1 hash paralelas (Windows 9x) 2hash-v0-2wxp MD5 y SHA1 hash paralelas (Windows XP) ver AccessEnumfull de su sistema de archivos y la configuración de seguridad del Registro AFindNTFS Ultimo acceso Buscador de Tiempo Agresor Un oyente de puerto TCP / UDP Auditad NTFS SACL Reporter - Encuentra archivos auditados os AutorunsDisplays qué programas están configurados para ejecutarse durante al arranque o Conectarse Versión de la línea de AutorunscCommand Autoruns Scanner archivo de texto BintextA BoppingBack orificio Pinger browselistlists nombres de equipo y los roles que desempeñan en la red CIScanIdentify dispositivos Cisco potencialmente vulnerables cmdlineShows procesos, identificación de procesos, rutas y parámetros de línea de comandos cryptcat netcat mejorada con cifrado Twofish DACLchkDumps cualquier ACL que se ha denegado y mascotas ACE Fecha y hora DatetimeSystem ddUnix duplicador de discos Que DiskViewshows un mapa gráfico del disco DSScanscan múltiples rangos de direcciones IP para detectar sistemas de nombres de cuenta dumpusersdump vulnerables e información 94

Traducido por Sykrayo España

Información EFSDUMPDump sobre archivos cifrados Win2K efsviewlists los usuarios que las claves de descifrado o claves de recuperación para un archivos EFS etherchangechange la dirección Ethernet de los adaptadores de red en Windows

95

Traducido por Sykrayo España

filehashercalculates el hash MD5 o SHA para un archivo Filemonmonitors y muestra la actividad del sistema de archivos en un sistema en tiempo real, FileStatDumps seguridad NTFS, archivos y atributos de flujo Archivos específicos FilewatchMonitor foremostCarve archivos basados en encabezado y pie de página Redireccionamiento FPipeTCP / UDP FPort TCP / IP Proceso a Port Mapper Disco Evidencia de fredFirst Responder (FRED) fruc First Responder Utilidad (FRU) Analizador galletaCookie para Internet Explorer gplist listas de información sobre el Grupo aplica políticas gsd Muestra la DACL de cualquier DLL HandleGUI basado en Windows NT servicio y manejar espectador HBusque buscador de archivos ocultos con acceso últimos tiempos Caza enumerador compartido SMB y buscador de administrador iplistEnumerates la década de IP de la computadora ircrIncident Report Collection respuesta (IRCR2) ListDLLs Listar todos los archivos DLL que se cargan actualmente listmoduleslists los módulos (EXE y DLL) que se cargan en un proceso LivekdUse depuradores de kernel de Microsoft para examinar un sistema en vivo. lnssearches para flujos NTFS LogonSessions lista activa logon sesiones lsadump2Dump LSA secretos Búsqueda macmatch archivos por sus tiempos de Mac sin necesidad de cambiarlos md5deepRecursive suma MD5 con búsquedas db. md5sumMD5 generador Sistemas MessengerScanScan para MS mensajero nbnameDecodes vulnerabilidad y muestra NetBIOS Name tráfico nc Netcat NTFSInfo Muestra información sobre los volúmenes NTFS NTLast Recuperar información de acceso openportsView todos los TCP y UDP abiertos pascoForensic herramienta para el análisis de Internet Explorer herramienta pddImaging para el análisis forense de dispositivos herramienta de inspección Palm OS plataforma periscopePE archivo pmdumpdump los contenidos de la memoria de un proceso para un archivo Archivos ProcexpLists, claves de registro y otros procesos de objetos han abierto procinterrogate Muestra la lista de procesos, dlls asociadas, suma md5 de cada dll. promiscdetect comprueba si el adaptador de red (s) se está ejecutando en modo promiscuo Psexec ejecutar procesos de forma remota PsfileSee qué archivos están abiertos de forma remota Psgetsiddisplay el SID de un equipo o un usuario Psinfogathers información clave sobre el sistema de Windows local o remoto PskillTerminate procesos locales o remotos Información PslistShow sobre los procesos y subprocesos PsLoggedO Mostrar usuarios conectados a un sistema de n Visor de registro de eventos Psloglistcommand-line Pspasswdchange contraseña de una cuenta en el sistema local o remoto 96

Traducido por Sykrayo España

PsService Servicio de espectador y el controlador Utilidad de apagado Psshutdowncommand-line

97

Traducido por Sykrayo España

PssuspendSuspend y reanudar los procesos pstoreview listas de los contenidos del almacenamiento protegido Que Psuptimeshows el tiempo que un sistema ha estado funcionando desde el último reinicio pwdump2Dump la base de datos SAM PwDump3e Obtener LM hashes de contraseñas de un servidor regCommand utilidad de línea de manipulación del registro Regmonshow usted qué aplicaciones tienen acceso a su "Papelera de reciclaje" analizador de registro rifiuti. utilidad rmtsharecommand-line que le permite configurar o borrar acciones SecReport remota Informes de seguridad (SecReport) ServiceList lista de servicios que se ejecutan en un sistema Servicelist utilidad para consultar el estado del servicio de una estación de trabajo o servidor SFindAlternate secuencia de datos Buscador sha1deep Recursiva sha1 suma con búsquedas db. sha256deepRecursive sha256 suma con búsquedas db. Showin Muestra información específica ventana SID2US Convertir SID de usuario ID ER Escáner de puertos Slcommand-line StreamsDisplays qué archivos NTFS tienen corrientes asociados a ellos stringsSearch de cadenas ANSI y UNICODE en imágenes binarias versión tcpvconcommand línea de TCPView TcpviewView todas TCP abierto y UDP puntos finales tigerdeepRecursive suma tigre con búsquedas db. Trucha Traceroute y el programa Whois user2sidConvert ID de usuario a SID UserDumpCommand herramienta de línea para volcar información de usuario básica volume_dumpDisplays información sobre los volúmenes lógicos en un sistema WF Forense de Windows Toolchest (WFT) T suma hidromasaje whirlpooldeepRecursive con búsquedas db. winfoqueries el anfitrión de la información facilitada por una sesión NULL winrelay TCP / UDP forwarder / redirector que funciona con IPv4 e IPv6 limpie Secure eliminación de archivos

98

Traducido por Sykrayo España

Helix arranque (Linux Side)
Uno de los mayores beneficios de la hélice es el medio forense Linux arranque. Linux es un sistema operativo de su ordenador y de su núcleo. Diseñado por Linux Torvalds cuando aún estaba en la universidad, Linux es uno de los ejemplos más prominentes del software libre y del desarrollo de código abierto: a diferencia de los sistemas operativos propietarios como Windows y Mac OS, todo su código fuente subyacente está disponible al público para que cualquiera pueda utilizar libremente, modificar, mejorar y redistribuir (Wikipedia, 2006b). Helix se basa en una versión de Linux llamada Desarrollado por Klaus Knoppix. Knopper, Knoppix es una versión de Linux que se ejecuta en su totalidad de un CD (Wikipedia, 2006). Esto se llama un LiveCD. En 2003, Drew Fahey de e-fense.com Knoppix modificada de modo que pudiera ser utilizado para investigaciones digitales y análisis forense. Helix, como Knoppix, se iniciará en un autónomo entorno Linux. Este entorno ha sido ajustado para fines forenses. Si bien hay muchas distribuciones de Knoppix como Knoppix-STD, Helix sólo se concentra en la respuesta a incidentes y análisis forense. Helix arrancará en todas las arquitecturas x86 que constituyen la mayoría de las computadoras en el mundo. Es por esta razón por la que la hélice para el futuro inmediato se mantendrá en un CDROM. Casi todos los ordenadores en el mundo tiene un CD-ROM, pero la mayoría no tienen DVD, etc Mientras derivados como Helix USB se obtendrán, es más estable en la plataforma CD. Aprender más acerca de Linux Linux es un sistema rico, complejo, que opera. Este segmento del manual sólo cubre las herramientas de respuesta forense e incidentes incluidos con el medio ambiente Helix. Hay numerosos libros, revistas y tutoriales disponibles para ayudarle a aprender Linux. Si bien no es Windows, es similar en muchos aspectos, y debe ser todo lo que mucho antes de que el usuario se sienta cómodo trabajando con él. Para obtener más información acerca de Linux, echar un vistazo a algunos de estos sitios web: http://www.linux. Org - Todo sobre Linux 99

Traducido por Sykrayo España

http://www.us.debian.org / - La instalación de la base de que la hélice se basa.

100

Traducido por Sykrayo España

Temas Forenses (Side Linux)
Protección contra escritura de los medios de comunicación Para asegurar que los medios evidencias digitales no se modifica, antes de que se coloca en un sistema de duplicación, debe estar en "Sólo lectura", "bloqueado" o "protección contra escritura", para evitar la modificación accidental. De forma predeterminada, Helix establece todos los dispositivos de sólo lectura, de modo que no pueden ser modificados fácilmente. Sin embargo, todavía se recomienda hardware de protección contra escritura de medios digitales cuando sea posible. Consulte los temas forenses (Windows Side) para obtener una lista completa de los medios de comunicación y las diversas formas de escribir protegerlos. Configuración de un dispositivo USB para lectura / escritura Si está utilizando el lado de Linux Helix para buscar todas recopilar pruebas, o una imagen de una unidad, es posible que desee guardar algunos archivos en la una unidad flash USB o una unidad flash. Cuando se inserta el dispositivo USB, Helix debe reconocerlo y poner el icono correspondiente en el escritorio. Sin embargo, de acuerdo con la filosofía de la hélice, el dispositivo será de sólo lectura. Los dispositivos USB se montan normalmente a la / Media / sda o / punto de montaje media/sda1. Para cambiar el dispositivo de manera que los datos se pueden guardar en él, abrir un shell de comandos y ejecutar los siguientes comandos:

umount / media/sda1

Esto asegura que la unidad se desmonta. Se puede generar un error si la unidad no se monta, pero que está bien. Esto montará la unidad como de lectura / escritura, y usted puede ahora usted puede escribir en él. Por último, esto desmontar la unidad, para que pueda ser eliminado.

mount-o rw / dev/sda1 / media/sda1

umount / media/sda1

Utilizando Helix en VMWare Si usted tiene acceso a VMWare (http://www.vmware.com/), puede "arrancar" Helix en la máquina virtual. Esto le dará la oportunidad de probar el lado de Linux Helix sin tener que reiniciar su máquina física. Para utilizar Helix en VMWare, crear una máquina virtual. Estos son algunos ejemplos de configuración, pero estos pueden ser modificados para funcionar mejor con su propia configuración del sistema. 101

Traducido por Sykrayo España

Para arrancar la hélice en el CD-ROM virtual, puede utilizar la unidad física, pero el proceso es más rápido con la imagen ISO descargados. Como se muestra en el ejemplo anterior, el CDROM está configurado para utilizar la imagen ISO. Cuando se inicia la máquina virtual, se iniciará desde el CD-ROM virtual, y Helix se iniciará. Por supuesto, hay algunas limitaciones, y las complejidades de esta manera el uso de la hélice. Para conocer realmente Helix es necesario cargar el CD Helix en una máquina real, y arrancar todo. El sistema de archivos Helix Obviamente Helix se ejecuta desde un CD-ROM que utiliza el estándar ISO9660 por su sistema de archivos. Esto tiene sus ventajas y desventajas. El mayor beneficio es que los archivos en el CD-ROM no se pueden cambiar por lo que es un almacenamiento permanente y la solución de seguridad. Puede usar el CD en un papel de respuesta a incidentes y no tener que preocuparse por sus archivos están alterando. Sin embargo, esto también es el inconveniente más grande que no se puede cambiar cualquiera de los archivos una vez que estén en su lugar. ¿Por qué quieres cambiar un archivo? Bueno, la razón principal es que los valores de configuración actualizados. Así que ¿cómo se hace esto en una sola escritura medio como un CD-ROM? En realidad, hay dos maneras de hacer esto, la vieja manera y el nuevo camino. La forma más antigua consistía en vincular los archivos que necesitan ser cambiadas en un área específica que se almacena en un disco RAM. Esto funcionó, pero fue una mala solución para 102

Traducido por Sykrayo España

hacer la cantidad de archivos que tendrían que estar vinculadas y el hecho de que los archivos

103

Traducido por Sykrayo España

tendría que estar vinculado antes de quemar el archivo ISO en un CD-ROM. La nueva forma implica el uso de una capa del sistema de archivos llamado unionfs. Unionfs
Unionfs fusiona directorios en una sola vista unificada. Una colección de directorios fusionadas se llama una unión, y cada directorio físico se conoce como una rama. Cada rama se asigna prioridad y una rama con una prioridad más alta prevalece sobre una rama con una prioridad más baja. Unionfs sólo funciona en los directorios en lugar de dispositivos (como cowloop). Si existe un directorio en dos ramas subyacentes, el contenido y los atributos del directorio unionfs son la combinación de los dos directorios inferiores. Unionfs elimina automáticamente las entradas de directorio duplicadas.

Los sindicatos Copia en escritura
Unionfs pueden mezclar de sólo lectura y de lectura y escritura ramas. En este caso, la unión en su conjunto es de lectura y escritura y unionfs utiliza copy-on-write semántica para dar la ilusión de que es posible modificar los archivos y directorios de sólo lectura ramas. Si el CD-ROM está montado en / mnt / cdrom, y un directorio vacío es creado en / tmp / cd, a continuación, Unionfs se pueden montar de la siguiente manera:
Ejemplo - Copy-On-Write Unión

# Mount-t unionfs-o dirs = / tmp / cd / mnt / ninguno / cdrom mnt / cdrom-rw
Cuando se ve a través de / mnt / cdrom-rw, parece como si se puede escribir en el CD-ROM, pero todas las escrituras en realidad tendrá lugar en / tmp / cd. Escribir para leer-sólo los resultados ramas en una operación llamada copyup. Cuando se abre un archivo de sólo lectura para la escritura, el archivo se copia en una rama más alta prioridad. Si es necesario, unionfs crea automáticamente una jerarquía directorio padre sea necesario. Con una simple modificación, Helix unionfs utiliza como soporte de superposición. Lo que significa que, el Helix CDROM se puede escribir sustituyendo / HELIX / / tmp / HELIX con la visión unificada:
Ejemplo - Unión Copiar-On-Write con Overlay

# Mount-t unionfs-o dirs = / home / cps / linux :/ usr / src / linux = ro \ > Ninguno / home / cps / linux Helix utiliza automáticamente unionfs y crea la unión en el arranque y la inicialización. Usted será capaz de "escribir" para todos los directorios. Esto hace que la instalación de software o la actualización de los archivos de configuración muy simple.You también puede controlar el comportamiento de los unionfs mediante el uso de las siguientes opciones de inicio: unionfs - le permite realizar cambios en el funcionamiento del sistema de almacenamiento de los cambios en la memoria RAM unionro - le permite restaurar los cambios en el sistema que va desde la partición suministrado o sistema de archivos de bucle invertido. Esta partición o 104

Traducido por Sykrayo España

sistema de archivos de bucle invertido se montará sólo lectura por lo que no permitirá más cambios a la misma

105

Traducido por Sykrayo España

unionrw - le permite hacer cambios en el sistema en funcionamiento almacenando los cambios en la partición de sistema de archivos de bucle invertido suministrado o Raid Esencial Aunque RAID pueden ser los dispositivos más difíciles de la imagen, especialmente el tipo de propiedad de Dell y Compaq, Helix ofrece una solución bastante simple. Helix puede ver la mayoría de los RAID de hardware como la tarjeta RAID inicializa el RAID antes Helix incluso botas. Helix también tiene muchos controladores RAID de software y hardware RAIDS. Dependiendo del dispositivo RAID actual, Helix no puede colocar el RAID en el directorio / mnt como otros dispositivos, pero eso no significa que la hélice no ve el RAID. Por ejemplo, para identificar un Compaq dispositivos RAID, hacer un "dmesg" y buscar "cpqarray." Si usted ve que usted debe ver los dispositivos que el Compaq RAID ve. El dispositivo debe mostrar las particiones como:
Ejemplo - Compaq particiones de matriz

ida/c0d0: p1 p2 p3 para particiones serán: / Dev/ida/c0d0p1 / Dev/ida/c0d0p2 / Dev/ida/c0d0p3

Helix ha construido en muchos controladores RAID en el kernel y muchos más como módulos cargables. Si por alguna razón Helix no ver el RAID, tendrá que tratar de cargar los módulos apropiados a través de:
Ejemplo - Carga de un módulo de kernel para un Adaptec RAID 2120

# Modprobe aacraid Esto cargará el módulo aacraid en el núcleo en ejecución para que pueda acceder al RAID de Adaptec.

Entendimiento dd dd tiene una historia interesante. Lo más interesante es lo que dd significa, la mayoría de la gente asume dd significa "dump dispositivo" o "dispositivo a dispositivo", o "volcado de datos." Algunos piensan que es sinónimo de "copiar y convertir", pero que pasó a llamarse a dd, porque las letras "cc" se reserva para el compilador de C. La definición más interesante es que dd significa "la muerte y la destrucción" de lo que pasa si te equivocas las opciones, que es sin duda cierto. En dd realidad significa "definición de datos", si se puede decir que para cualquier cosa en absoluto. La razón es que se derivó de la orden del mismo nombre IBM OS/360 JCL (Job Control Language). IBM System/360 JCL tenía una dd "Dataset Definición" especificación elaborada 106

Traducido por Sykrayo España

adecuado para copiarlo dispositivos de E / S de bloques orientados.

107

Traducido por Sykrayo España

El comando dd se utiliza en informática forense para realizar una copia de seguridad física de los medios de comunicación de dispositivos de hardware. Lo que hace que el comando dd especial es que tiene marcas especiales que lo hacen adecuado para los dispositivos de bloque orientadas imágenes tales como cintas. dd es capaz de hacer frente a estos dispositivos de bloque para sequentially.In proceder, es muy importante entender la sintaxis básica del comando dd:
DD - Comprensión Sintaxis

dd if = fuente de destino = Dónde: if = archivo de entrada, o el dispositivo que está copiando (disco duro, cintas, etc) fuente = Fuente de imagen de = archivo de salida, o una copia de la imagen destino = Donde desea colocar la copia Por ejemplo: si el dispositivo en ser fotografiado es / dev / hda, el siguiente podría producir una copia exacta con el nombre de 'ForensicCopy.img': dd if = / dev / hda of = / mnt/hdd1/ForensicCopy.img

Como se mencionó anteriormente, dd es muy útil cuando se copia y / o restauración de los dispositivos de bloque orientadas tales como cintas. Algunas de las opciones disponibles a dd que lo hacen muy útil son: bs = tamaño de bloque ibs = entrada de tamaño de bloque obs = salida de tamaño de bloque cuenta = número de bloques para copiar skip = número de bloques para saltar al inicio de la entrada seek = número de bloques para saltar al inicio de la producción conv = conversión Estas opciones son extremadamente útiles en muchos casos. Por ejemplo, si usted quiere simplemente adquirir el Master Boot Record (MBR) de un disco duro, que se necesita para obtener los primeros 512 bytes de la tabla de particiones de discos duros. Para hacer esto usted necesita para pasar algunas opciones de dd con sólo tomar los primeros 512 bytes, de lo contrario dd adquiriría todo el disco duro. Así que para ello debe escribir en: 108

Traducido por Sykrayo España

Ejemplo - Adquirir el MBR usando DD

dd if = / dev / hda of = / mnt/hdd1/MBR.img bs = 512 count = 1

109

Traducido por Sykrayo España

Otro ejemplo del uso de dd es para usarlo para dividir una imagen grande en imágenes mucho más pequeñas. Se trata de un largo camino para lograr esto ya que se suele utilizar la utilidad dividida, pero esto sólo sirve como un ejemplo del poder de dd. Para nuestro ejemplo, supongamos que tenemos un dispositivo de 4GB y queremos dividir la imagen en cuatro archivos de 1GB.
Ejemplo - División de un archivo de imagen con DD

Usando dd con las banderas debajo creará cuatro imágenes cada 1 GB de tamaño. dd if = / dev / hda count = 1000000 de = imagen1 dd if = / dev / hda count = 1000000 skip = 1000000 de imagen2 = dd if = / dev / hda count = 1000000 skip = 2.000.000 de = image3 dd if = / dev / hda count = 1000000 skip = 3.000.000 de = image4

Ahora, cada imagen es de 1 GB de tamaño en lugar de la original de 4GB. Lo primero que se debe notar es que el primer comando tiene 1 GB (count = 1.000.000) y la copia, nombrando a la copia "imagen1". El segundo comando salta la primera 1GB (skip = 1.000.000) y luego copia el siguiente 1GB (count = 1000000), nombrando a esta imagen "imagen2" y así sucesivamente. Este es el propósito de la 'recuento' y Banderas 'Skip'. Adquisición tradicional (imagen Dead) El proceso por el cual una imagen se adquiere cuando el disco duro se ha apagado también se conoce como imágenes muerta. Este es el mejor método para obtener la imagen más válida a efectos legales. También es el método de aplicación de la ley que utiliza como su práctica principal. Hay muchas maneras que usted puede realizar esta tarea en un entorno de laboratorio, pero uno de los métodos más sencillos de utilizar Helix. Helix es valioso en muchas maneras, pero sobre todo para la capacidad de los sistemas de imágenes de forma rápida que utilizan dispositivos RAID. Es mucho más económico que la imagen de un dispositivo RAID a nivel lógico que la imagen de forma individual cada unidad y tratar de reconstruir el dispositivo RAID más adelante. Arranque el CD de hélice en el sistema para formar imágenes (sistema de pruebas). Puede que necesite arrancar en modo a prueba de fallos para ser operativa. Hay algunos casos con ataques propietarios como los Proliants Compaq utilizando el controlador SMART-2 / P Raid en el que la hélice no se inicia normalmente se acaba de colgar en la fase de detección automática. Una vez Helix ha arrancado, usted tiene varias opciones que puede utilizar para obtener imágenes del sistema. Usted tendrá que tomar una decisión de toda la imagen del disco (físico) o las particiones individuales (lógica). En cualquier caso, la imagen contendrá los archivos borrados, el espacio de holgura, y el espacio no asignado. Si elige una imagen lógica, lo único que le falta es el MBR y el espacio de intercambio si se olvida de la imagen él. Actualmente autopsia no puede analizar una imagen física. Autopsia necesita imágenes lógicas, pero se puede 110

Traducido por Sykrayo España

extraer los de la imagen física más adelante para hacer una imagen física.

111

Traducido por Sykrayo España

Imagen de un Listener Netcat / Cryptcat Netcat es la herramienta preferida (más de Samba) para obtener imágenes a través de una red debido a una sobrecarga menor. Netcat es una utilidad de red que lee y escribe datos a través de conexiones de red utilizando el Protocolo TCP / IP. Cryptcat es el Netcat mayor estándar con encriptación Twofish. Helix hace No utilice la clave secreta por defecto (metallica), la clave ha sido cambiada para Helix. Puede cambiar la clave mediante el uso de la opción-k. Usted todavía necesita para montar su campaña de recolección / cosecha, que es el mismo método que el anterior. La siguiente paso sería la creación de un oyente Netcat en el servidor forense dependiendo de lo que quieras para Si desea adquirir la totalidad del disco físico: recoger.
Ejemplo - El uso de un servidor de Netcat / Cryptcat

Emita el mandato siguiente, el forense del servidor: nc-v-n-l-p 8888-O myimage.img En el sistema Helix, a continuación, puede ejecutar dd: dd if = / dev / <dispositivo> | nc <IP> 8888

Imágenes a un servidor Samba Lo primero que hay que hacer después de arrancar el sistema en ser fotografiado con Helix está configurado el servidor Samba en su sistema de adquisición. Samba es muy fácil de implementar y que utiliza el ancho de banda adicional. Netcat es generalmente el mejor método a utilizar. Samba está configurado por el archivo smb.conf situado en / etc / samba. Ver Apéndice 1 para un ejemplo de un archivo smb.conf servidor Samba Forense de trabajo. Hay algunos trucos que usted debe tener en cuenta con un forense del servidor Samba. En primer lugar debe montar la unidad que desea utilizar como su colección / unidad de la cosecha y que la unidad debe ser modificable. La forma más sencilla de lograr esto es mediante el comando mount siguiente:
Ejemplo - Montaje de un dispositivo para su uso como un recurso compartido Samba

mount-o rw, umask = 000 / dev / hd? / Mnt / imágenes donde: ?? = Dispositivo de linux que es su colección / cosecha de IE / dev/hdd1 / Mnt / images = punto de montaje de la colección / unidad de cosecha.

112

Traducido por Sykrayo España

Inicie el servidor Samba después de haber montado su colección / unidad cosecha simplemente escribiendo: service smb start orservice smb restart

113

Traducido por Sykrayo España

Ahora está listo para utilizar el recurso compartido Samba como su destino de la imagen. El único paso que queda es montar el recurso compartido Samba en el sistema Helix. Para montar el recurso compartido Samba (GRAB lo hará por usted.)
Ejemplo - Montaje de una Samba o Windows participación en Helix
mount-peso smbfs-o username = nombre de usuario, contraseña = contraseña / / <IP> / <share> / <mount_point>

donde: Smbfs-wt = montaje de lectura / grabación y ajuste el tipo de sistema de archivos de samba fs -O username = nombre de usuario, password = password = conjunto de nombre de usuario y contraseña / / <IP> = Netbios bandera y la dirección IP del sistema Samba / Windows / <share> = Nombre del recurso compartido que desea montar / <mount_point> = Lugar donde desea montar la unidad de acción a *También puede agregar dmask = 0777, fmask = 0,777 a las opciones de lectura / escritura Lo bueno de la creación de un servidor Samba Forensics y la imagen de que es que se puede dirigir a todos ustedes ordena al sistema de archivos local, que es donde se encuentra el recurso compartido Samba / Windows. Parecerá como si está escribiendo en otro directorio en el sistema local, cuando en realidad los datos se atravesaban en la red.
Ejemplo - Imagen de una parte de la samba

dcfldd if = <dispositivo> | tee> (sha1sum> / <mount dir> / (caso) / <filename.sha1) | Split-a 3-d-b 1436m - / <mount dir> / (caso) / <filename_img.> De acuerdo con Drew Fahey de e-fense.com, esta es la mejor línea de comandos para utilizar para compartir una unidad más de samba: mount-t ntfs-o umask = 000, noauto, user, uid = 500, gid = 100, ro, loop, noexec, noatime, show_sys_files = true / ntfs.img / mnt / hack / ntfs

114

Traducido por Sykrayo España

Fundamentos de arranque
El primer paso que debe llevar a cabo para arrancar en Helix es asegurarse de que su BIOS esté configurado para arrancar desde el CD-ROM antes de cualquier otro dispositivo. Si el BIOS no soportan el arranque desde un CD-ROM, debe dar lugar a arrancar desde un disquete (hora de actualizar su sistema). Todo lo que se requiere para arrancar Helix es colocar el CD Helix en la unidad de CDROM y reiniciar / encender el ordenador. Cuando el sistema pasa el POST, debería ver la pantalla:

Como se puede ver se le presenta un menú de arranque gráfico cortesía de Grub (Grand Unified Bootloader). Usted puede elegir la opción que sea mejor para usted y su medio ambiente. El ajuste inicial predeterminado debería funcionar para la mayoría de la gente, sin embargo hay ocasiones en las que no funcionan. Algunos ordenadores portátiles y otros equipos no les gusta algunas de las opciones estándar, como el uso de DMA en todos los dispositivos. Por lo tanto usted debe elegir la opción de desactivar DMA. Algunas de las opciones más populares que están utilizando el modo a prueba de fallos, y el modo de consola. Véase el Apéndice A para obtener una lista de todos los métodos de arranque. Helix está usando el kernel 2.6.14. 115

Traducido por Sykrayo España

Si bien hay muchas opciones predeterminadas para usted en la pantalla de inicio, a veces puede ser necesario añadir o eliminar comandos adicionales. Para hacer esto dentro de GRUB sólo tienes que escribir o borrar los comandos que desee simplemente escribiendo. Las opciones de arranque va a cambiar a medida que escribe. A modo de ejemplo a continuación, la opción tranquila y imagen_de_arranque = hélice que se haya eliminado con sólo presionar la tecla de retroceso.

F1 - Ayuda y Cheat Codes La tecla F1 se mostrará la pantalla de ayuda y proporcionar al usuario los "Códigos de trucos", las opciones de inicio para ayudar a configurar la hélice para funcionar correctamente en el sistema de destino. Navegación por el sistema de ayuda El gestor de arranque de ayuda en línea sensible al contexto. Proporciona información sobre el elemento de menú seleccionado o, si está editando las opciones de arranque, intenta buscar información acerca de la opción en la que está situado el cursor. Teclas de navegación Hasta Arrowhighlight enlace anterior Abajo Arrowhighlight siguiente enlace Flecha izquierda, Backspacereturn al tema anterior Flecha derecha, Intro, Espacio seguir enlace Página Upscroll hasta una página Página Downscroll bajar una página principal Ir a la página de inicio Endgo a la página final Esc deje ayudar Opciones de arranque (Trucos aka) Aboutshort introducción a Helix. ACPI configuración avanzada e interfaz de energía APM la administración de energía de palanca Opciones ClockClock DebugSettings depurar su Helix Live CD de instalación interactivo de expertos para expertos FailsafeBoot con (casi) sin HW-detección. 116

Traducido por Sykrayo España

Framebuffer utiliza el framebuffer para gráficos FromHDBoot de copiado anteriormente CD-Imagen

117

Traducido por Sykrayo España

Archivos en bucle / homeMount. HostnameUse un nombre de host diferente en su lugar HRateUse especifica la frecuencia de actualización horizontal X. IDE DMA activar / desactivar DMA para las unidades IDETeclado Utilizar otro teclado (text / X) Languagespecify idioma / teclado. Principal Búsqueda de Helix mainmodules Souvenirs especificar el tamaño de la memoria en Mbytes. Memtest Ejecute la utilidad memtest86. NOSKIP partes de HW-detección especifica. PCI algunos ajustes PIC. RunlevelRunlevel 1, base de carga Helix, TextMode sólo Splashinfluence el comportamiento de la pantalla de bienvenida. TestCDCheck integridad de los datos de CD y md5sums ToHDCopy CD a la partición HD y ejecutar desde allí Copiar CD toram de RAM y ejecutar desde allí VGA Configuración de framebuffer. VRate Usar frecuencia de refresco vertical, especificado para X. WMScreenUse especificado pantalla resolutionfor X. XmoduleUse especificada controlador del sistema X Window. Acerca de Helix es una distribución Live CD con énfasis en la medicina forense y respuesta a incidentes. Arranca desde el CD, sin tocar el contenido de su disco duro. Helix se basa en Knoppix pero ha sido alterado de manera significativa para evitar cambios en los datos. Helix tiene un gran número de usuarios y se utiliza para la formación forense. Para obtener más información, por favor, eche un vistazo a http://www. E-Pantanose.com /hélice ACPI ACPI (Advanced Configuration and Power Interface) es un estándar que define el poder y las interfaces de gestión de configuración entre un sistema operativo y el BIOS. Por defecto, acpi se activa cuando se detecta un BIOS que sea más reciente que la del año 2000. Hay varios parámetros comúnmente utilizados para controlar el comportamiento de ACPI: pci = noacpido no utiliza ACPI para las interrupciones PCI acpi = oldbootonly las partes de ACPI que son relevantes para el arranque permanecen activados acpi = off offswitch ACPI completamente acpi = forceswitch en ACPI incluso si la BIOS es anterior al año 2000 Especialmente en equipos nuevos, sustituye el sistema de apm edad. 118

Traducido por Sykrayo España

APM APM es una de las dos estrategias de gestión de potencia utilizados en los equipos actuales. Se utiliza principalmente con ordenadores portátiles para funciones como la "suspensión a disco", pero también puede ser responsable de apagar el equipo después de apagar. APM se basa en un correcto de la BIOS. Si el BIOS está roto, puede que APM tenga un uso limitado o incluso impedir que el equipo de trabajo. Por lo tanto, se puede apagar con el parámetro apm = off offswitch APM completamente Algunos equipos muy nuevos pueden tomar más ventaja de la ACPI más reciente. Reloj Use el reloj de hardware como el tiempo GMT gmt Depurar A veces, su CD en vivo Helix no funciona exactamente como se esperaba. Aquí están algunas opciones en orden de utilidad: FailsafeTry utilizar valores predeterminados conservadores vga = normal No use el framebuffer, desactiva la imagen de arranque xmodule = vesa cargar el controlador X por defecto, no Autodetect debug = onDon't reinicie el CD en vivo después de salir, abra un shell

Experto Valores expertos. Utilice experto para habilitar esta operandi. A prueba de fallos Arranque Helix con (casi) ningún HWdetección. Utilice a prueba de fallos para habilitar esta operandi. 119

Traducido por Sykrayo España

Framebuffer

120

Traducido por Sykrayo España

Algunos ajustes Framebuffer: fb1280x1024 utilizar framebuffer fijada para gráficos fb1024x768 utilizado framebuffer fijo para fb800x600 gráficos utiliza framebuffer fija para gráficos fromhd Utilice el comando fromhd = / dev/hda1 (hda2, hda3, ...) para arrancar la imagen de CD previamente copiado a la partición. casa Mount Helix homedir. home = / loopback dev/sda1Mount archivo (helix.img) en / home / morph. home = scan de búsqueda automática de la imagen homedir hélice para. nombre de host Modificar el nombre de host predeterminado, que es "Helix" = nombre de host myboxSet el nombre de host a "miordenador" HRate (Xhrefresh) Horizontal frecuencia de actualización - Se puede establecer la frecuencia de refresco horizontal con: xhrefresh = 80 (o hsync = 80) Uso 80 kHz frecuencia de refresco horizontal para X ide IDE es, a diferencia de SCSI, se utiliza en la mayoría de las estaciones de trabajo de escritorio. Para evitar algunos problemas de hardware que se producen con los sistemas IDE, utilice el parámetro de kernel: ide = nodmaswitch de DMA para las unidades IDE teclado

121

Traducido por Sykrayo España

Ajustes del teclado:

122

Traducido por Sykrayo España

teclado = us xkeyboard = usUse diferente teclado (tet / X) lang Especifica un idioma para el teclado. Si está disponible, Helix establece la configuración regional correspondiente a su idioma. Los ajustes posibles son: lang = ser lang = bg lang = ch lang = cn lang = cz lang = de lang = da lang = el lang = es principal Analizar en busca de mainmodules de esta partición main = PartitionName mem Especifique el tamaño de la memoria en Mbytes. Algunos sistemas no reportan el tamaño de la memoria propia del linux-kernel, lo que puede provocar el error "Panic: cannot mount root file system", y luego el sistema se bloquea. Las opciones de mem le permite especificar la cantidad adecuada de la memoria. mem = 128M La "M" debe ser capitalizado. memtest Compruebe la memoria RAM de su sistema, no arranca Helix memtest no Saltar partes especificadas de HW-detección. Las opciones disponibles son: noapicturns APIC off. 123 Belga Búlgaro Swiss Chino Checo Alemán Danés Griego Español lang = fi lang = fr lang = gl lang = he lang = es lang = ja lang = lv lang = lt lang = nl Finlandés Francés Gallego Hebreo Italiano Japonés Letón Lituano Holandés lang = es lang = ru lang = sf lang = sk lang = sl lang = tr lang = tw lang = uk lang = es Polaco Ruso Suiza francesa Eslovaco Esloveno Turco Taiwán Británico EE.UU. (predetermina do)

Traducido por Sykrayo España

noagp

Resulta AGP fuera.

124

Traducido por Sykrayo España

noapm convierte APM off. noacpi convierte ACPI off. noaudio apaga AUDIO. noddcturns DDC off. nodma convierte DMA fuera. nofirewire convierte FIREWIRE off. noisapnpbiosturns ISAPNPBIOS off. nomceDisable Machine Check Exception nopcmcia convierte PCMCIA off. noscsi Resulta SCSI fuera. noswapturns SWAP off. nousb Resulta USB fuera. nonvidiaturns fuera del minimódulo controlador propietario NVIDIA (si están disponibles) Para convertir casi todo de ver a prueba de fallos. PCI Algunas configuraciones PCI: pci = irqmask = 0x0e98Try esto, si PS / 2 ratón no funciona. pci = bios Solución alternativa para los controladores PCI malas.

El nivel de ejecución Arrancar sólo la base de la hélice, no cargue los módulos. Útil para depurar. 1 Salpicadura La pantalla de inicio es la imagen que se muestra durante el inicio del sistema. splash = 0 La pantalla inicial se desactiva. Esto puede ser útil en monitores muy antiguos o si se produce algún error. splash = verbosa Todavía se muestran Activa la pantalla, y los mensajes de arranque del kernel. splash = silencio Activa la pantalla, pero no hay mensajes. En lugar de una barra de progreso se dibuja. 125

Traducido por Sykrayo España

testCD Para verificar el correcto funcionamiento de la unidad de CD Helix, puede probar el CD. Si el CD parece hacer mucho ruido, o genera muchos errores, de los programas parecen chocar constantemente, es posible que la imagen que descargó está corrupto, o el soporte de CD se bad.Add la opción de línea de comandos: testcd para comprobar la integridad de los datos de CD y sumas MD5 de los ficheros. toHD Utilice el comando tohd = / dev/hda1 (hda2, hda3, ...) copiar todo el CD a la partición especificada y arrancar desde allí. toram Utilice el comando toram copiar todo el CD en la memoria RAM de un arranque a partir de ahí. vga Ajuste Framebuffer VGA. vga = normal No framebuffer, pero X. vga = 785640x480 framebuffer. vga = Framebuffer de 800x600. 788 vga = 7911024x786 framebuffer. vga = 7941280x1024 framebuffer. VRate (Xvrefresh) Frecuencia de actualización vertical. Puede configurar la frecuencia de actualización vertical con: xvrefresh = 60 (o vsync = 60) Uso 60 Hz frecuencia de actualización vertical de X. 126

Traducido por Sykrayo España

WM pantalla Establece la resolución de la pantalla de X (para el gestor de ventanas). pantalla = uso 1280x1024to para una resolución de pantalla de 1280x1024 = uso 1024x768to para una resolución de 1024x768 Xmodule Es posible utilizar diferentes módulos, también posiible combinarlos: xmodule = atiuses módulo ati. xmodule = módulo BDEV fbdevuses. xmodule = i810uses i810 módulo de sonido (compatible con Intel). xmodule = mga mga módulo utiliza. xmodule = módulo de NVidia nvuses. xmodule = radeonuses módulo Radeon. xmodule = savageuses módulo salvaje. xmodule = s3 utiliza módulo SiS. xmodule = svga utiliza módulo SVGA. Opciones predeterminadas para los diferentes modos de inicio La línea de comando Helix predeterminado para el modo de interfaz gráfica de usuario es: ramdisk_size = 100000 init = / etc / init lang = unionfs apm = power-off nomce tranquila La línea de comando Helix predeterminado para el modo consola es: ramdisk_size = 100000 init = / etc / init lang = us apm = power-off unionfs nomce tranquila 2 La línea de comando Helix predeterminado para el modo experto: Imagen_de_arranque = experto ramdisk_size = 100000 init = / etc / init lang = us apm = power-off nomce nodma La línea de comando Helix predeterminado para el modo a prueba de fallos es: ramdisk_size = 100000 init = / etc / init lang = es vga = normal nosound noapic noscsi nodma noapm nousb nopcmcia nofireware noagp nomce nodhcp xmodule = vesa La línea de comando Helix predeterminado para la copia de la hélice a la RAM (1 GB ¿Necesitas +) es: ramdisk_size = 100000 init = / etc / init lang = us apm = power-off toram La línea de comando Helix defecto para el arranque con el hogar persistente es: 127

Traducido por Sykrayo España

ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off home = scan

128

Traducido por Sykrayo España

La línea de comando Helix predeterminado para el modo TestCD es: ramdisk_size = 100000 init = / etc / init lang = us nomce testcd tranquila La línea de comando Helix predeterminado para el modo 1280x1024 Mode Framebuffer es: ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off vga = 794 xmodule = fbdev nomce tranquila La línea de comando Helix predeterminado para el modo 1024x768 modo framebuffer es: ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off vga = 791 xmodule = fbdev nomce tranquila La línea de comando Helix predeterminado para el modo 800x600 Modo Framebuffer es: ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off vga = 788 xmodule = fbdev nomce tranquila La línea por defecto para el comando Helix ACPI on - DAM on - FB modo es: ramdisk_size = 100000 init = / etc / init lang = us noapic apm = power-off vga = normal, tranquila nomce F2 - Lenguaje y Selección disposición del teclado La tecla F2 cambiará el idioma y distribución de teclado utiliza el gestor de arranque. Algunos de los idiomas actualmente disponibles son: Inglés, español, francés, italiano, alemán, japonés y ruso. F3 - Selección del modo de Splash Permite cambiar el modo de pantalla de inicio. Puede utilizar la opción del kernel splash directamente, si lo prefiere. Nativo apaga la pantalla splash (igual splash = 0) Verboseshows buena foto y mensajes del kernel y arranque Silentsuppresses todos los mensajes del kernel y arranque y muestra una barra de progreso F4 - Resolución de la pantalla Modo de texto, 640x480, 800x600, 1024x768, 1280x1024, 1600x1200 Una vez que seleccione las opciones de instalación y pulse la tecla ENTER, aparecerá la pantalla de inicio Helix. Esta pantalla mostrará que arranque el progreso.

129

Traducido por Sykrayo España

Usted será capaz de ver los dispositivos que encuentra Helix, así como le proporciona información del núcleo, lo que podría ser importante si hay problemas en la carga de la hélice.

130

Traducido por Sykrayo España

Interfaz de usuario Helix
Una vez Helix termina el proceso de arranque, X Windows se iniciará automáticamente y le mostrará el escritorio de Helix. Helix utiliza el Xfce (http://www.xfce.org/)entorno de escritorio, ya que es extremadamente ligero y muy versátil. Todos los otros entornos de escritorio antiguos, como KDE, Fluxbox, larswm, etc han sido retirados de la hélice por completo. Mucho de lo que se necesita de Helix se encuentra disponible a través del botón Inicio de la hélice y la barra de tareas en la parte inferior de la pantalla.

Helix "Start" botón

Inicie el administrador de archivos xffm

Inicie el Firefox Navegador

Colored registrado icono terminales. Para verlas todas haga clic en la marca de verificación a la derecha.

Escritori o switcher

Iniciar TextEditor para tomar notas

Arrastre el archivo a la impresora 131

Traducido por Sykrayo España

Gráfico de utilización de la CPU

Gráfico de utilización de red

Gráfico de utilización de la memoria

Monitores de rendimiento del disco

Control de volume n

Apague

El entorno de escritorio Helix está basada en Xfce (http://www.xfce.org /). El nombre "Xfce" originalmente significaba "XForms entorno común", pero desde entonces, Xfce se volvió a escribir dos veces y no utiliza XForms conjunto de herramientas más. El nombre sobrevivió, pero ya no se capitaliza como "XFce", pero "Xfce". Postura actual de los desarrolladores es que el acrónimo no representa nada cualquier más (Wikipedia, 2006c). A continuación se toma de http://www.xfce.org / DOCUMENTACIÓNion/docs-4.2/xfce4-use.html El escritorio El entorno de escritorio Xfce 4 no es una entidad única que proporciona toda funtionality, sino que se trata de cumplir con la antigua tradición UNIX de pequeñas herramientas que hacen un trabajo y hacerlo mejor. Barra de tareas En la parte superior de la pantalla podrás ver la barra de tareas. Muestra las aplicaciones que se ejecutan en el espacio de trabajo actual. Puede enfocar la aplicación haciendo clic en el botón en la barra de tareas. Al hacer clic de nuevo, se oculta la aplicación. Si se utiliza el botón derecho del ratón, aparecerá un menú, lo que le permite realizar varias acciones en la ventana de la aplicación. La barra de tareas puede contener opcionalmente un localizador gráfica que muestra una vista en miniatura de todas las áreas de trabajo y un área de notificación o bandeja del sistema. Panel En la parte inferior de la pantalla es el panel Xfce4. Le permite ejecutar aplicaciones y también contiene un localizador gráfica, un reloj y un corrector electrónico. Algunos elementos tienen un menú del panel asociado que da acceso a más aplicaciones. Menús del panel se abren pulsando los botones de flecha al lado del elemento del panel. Cambiar el contenido del panel y las propiedades de los elementos se realiza con el botón 132

Traducido por Sykrayo España

derecho del ratón. Tanto los elementos del panel y el movimiento del panel de control tienen un menú del botón derecho del ratón desde donde se puede cambiar la configuración del panel. Desktop Manager El gestor de escritorio ofrece la imagen de fondo de escritorio y dos menús al hacer clic sobre el fondo del escritorio.

133

Traducido por Sykrayo España

El botón derecho del ratón se abre un menú que le permite iniciar aplicaciones. Mira el manual para saber cómo cambiar el contenido del menú. El botón central del ratón (o Shift + clic izquierdo) se abre una lista de todas las aplicaciones que se están ejecutando actualmente. Se puede activar una aplicación haciendo clic en su entrada en el menú. Window Manager El gestor de ventanas es responsable de la colocación de las ventanas en la pantalla y proporciona los bordes de las ventanas y decoraciones. Esto le permite mover ventanas alrededor arrastrando la barra de título y proporciona botones de la barra de título, por ejemplo, para cerrar, minimizar o maximizar una ventana. Mira el manual para una explicación completa del gestor de ventanas. Settings Manager El administrador de configuración se ejecuta en segundo plano y se asegura de que todas las aplicaciones de Xfce 4 actualizan sus valores cuando el usuario cambia algo en el cuadro de diálogo Administrador de configuración (ver la siguiente sección) y se encarga de leer la configuración del disco durante el arranque. Mira el Administrador de configuración y ajustes Plugins manuales para una explicación completa del administrador de configuración. Tareas comunes En esta sección se explica cómo realizar varias tareas comunes para obtener rápidamente de empezar a trabajar con Xfce 4. Porque eso es lo Xfce 4 está diseñado para, para que pueda realizar su trabajo. Ejecución de programas Xfce 4 Panel El panel está diseñado para permitir el acceso rápido a las aplicaciones más utilizadas por ponerlos en el panel principal. Aplicaciones utilizadas con menos frecuencia se pueden poner en un menú del panel. Menú Escritorio Otro método para aplicaciones de arranque es desde el menú de escritorio del ratón. Lea la Manual de Desktop Manager para obtener información sobre cómo cambiar el contenido del menú. Ejecutar diálogo Si conoce el nombre de un programa y no es en el panel o en el menú del escritorio se puede utilizar el cuadro de diálogo Ejecutar. Para abrir el tipo de diálogo Alt + F2 o seleccione el programa Run ... opción en el menú del escritorio. El diálogo recordará los 10 últimos comandos que se han ejecutado con éxito. Gestión de ventanas y áreas de trabajo Operaciones de la ventana Básico 134

Traducido por Sykrayo España

Puede mover las ventanas por la pantalla arrastrando su barra de título. Una ventana puede ser cerrada, oculta, maximiza, a la sombra y se pegajosa - esto significa que se mostrará en todas las áreas de trabajo - por el uso de los botones de la barra de título. Al hacer clic derecho sobre la barra de título se abre un menú que permite acceder a todas las operaciones de la ventana.

135

Traducido por Sykrayo España

Sombra de una ventana, lo que significa que el colapso de mostrar sólo la barra de título, también se puede lograr mediante el uso de la rueda del ratón sobre la barra de título. La rueda del ratón hacia arriba es la sombra, la rueda del ratón hacia abajo es Desenrollar. Si quieres ventanas maximizadas de no cubrir toda la pantalla se puede establecer márgenes de área de trabajo en el cuadro de diálogo Administrador de configuración (véase más adelante). Gestión de aplicaciones Para saber qué aplicaciones se están ejecutando actualmente se puede ver en la barra de tareas. Al hacer clic en un botón en la barra de tareas se centrará la aplicación asociada. Pulsando de nuevo ocultarlo. Al hacer clic con el botón central del ratón en el fondo del escritorio se muestra una lista de las ventanas, ordenados por área de trabajo. Puede activar la aplicación o cambiar los espacios de trabajo seleccionando la opción de menú correspondiente. La aplicación xfce4-caja de iconos también se puede utilizar para realizar un seguimiento de las aplicaciones en ejecución. Áreas de trabajo Puede cambiar los espacios de trabajo, haga clic en ellos en el localizador gráfica, ya sea en la barra o en el panel. Al presionar Ctrl + Alt + Flecha izquierda o Ctrl + Alt + Flecha derecha se avanza por las áreas de trabajo. Usando la rueda del ratón sobre el localizador o el fondo del escritorio tiene el mismo efecto. Para añadir o eliminar espacios de trabajo que puede utilizar el menú de escritorio botón central o el cuadro de diálogo de configuración (ver más abajo). Usando el cuadro de diálogo Administrador de configuración El cuadro de diálogo Administrador de configuración permite el acceso a las preferencias globales de muchas aplicaciones Xfce 4. Se puede ejecutar pulsando su laucher en el panel, en el menú de escritorio del ratón o mediante la ejecución de xfce-setting-espectáculo. Cuadros de diálogo para cambiar muchos aspectos del entorno de escritorio Xfce 4 están disponibles. Consulte los manuales correspondientes de los 4 componentes de Xfce para más información. Puede ser interesante echar un vistazo rápido a todos los cuadros de diálogo para averiguar lo que están disponibles que permiten crear el entorno de trabajo mejor opciones. El Administrador de archivos A continuación se toma de http://www.xfce.org / documentoation/docs-4.2/xffm.html Este administrador de archivos es treeview diseñado. Cada rama principal del árbol es un plugin independiente que no necesita ser cargado, si no se solicita. Con este gestor de archivos que puede lanzar programas, examinar el contenido de los directorios, gestionar el contenido de los contenedores de basura, examine la red SMB (Wind * ws), mantenga favoritos, ver las diferencias entre archivos, buscar archivos, archivos de cifrar contraseñas y mover, copiar, 136

Traducido por Sykrayo España

cambiar el nombre, duplicar, eliminar archivos o enlaces simbólicos. También puede crear, examinar o extraer directorios y de los archivos tar comprimidos, sistemas de archivos ISO y grabar imágenes de CD-ROM. Montaje y desmontar compartidos SMB remotos, sistemas de archivos locales o medios extraíbles también está disponible con un doble clic.

137

Traducido por Sykrayo España

Además de lo anterior, el administrador de archivos de Xfce rápido tiene un sofisticado mecanismo DBH basado en llevar la cuenta de los programas utilizados, sitios visitados, y un sistema de implementación del tabulador que le muestra las opciones en lugar de tener que adivinar lo que puede ser. Puede cambiar el nombre de archivos, cambiar la información de usuario o grupo, o la protección de archivos mediante una simple seleccionar y editar el campo. Puede utilizar arrastrar y soltar o copiar y pegar para mover o copiar archivos con otros filemanagers o para descargar y subir archivos de los servidores SMB remotos. Introducción Por lo general, iniciar el administrador de archivos seleccionando la entrada correspondiente en el panel de Xfce, el menú de Xfce-escritorio o escribiendo en un directorio (ruta absoluta o relativa al directorio home) en el diálogo de solicitud xfrun4. También puede escribir xffm en una ventana de terminal o xfrun4 sistema. Al iniciar el administrador de archivos por primera vez se quiere una ventana en su pantalla, que de esta manera:

Archivo ramas raíz gestor 138

Traducido por Sykrayo España

Actualmente existen las siguientes ramas del nivel raíz. Usted puede cualquier combinación de ellos, ya sea en cristal de la ventana.

139

Traducido por Sykrayo España

Xftree - Los archivos locales La rama de archivos local es el tradicional árbol de la que se muestran los archivos en el equipo local. El árbol se puede abrir con cualquier nivel de anidación, y el nivel superior puede ser trasladable a cualquier directorio en el equipo local. Para invocar el gestor de archivos con sólo la rama local de archivos activada, utilice xftree4 como la línea de comandos. Xfsamba - SMB Network La rama de la red SMB es la manera de navegar a través de una red SMB utilizando los programas de samba privado. Para invocar el gestor de archivos con sólo el SMB red de sucursales activo, utilice xfsamba4 como la línea de comandos. Xfbook - Marcadores La rama de marcadores es una manera de crear directorios virtuales con los archivos locales y archivos remotos de la red SMB o acciones. Múltiples configuraciones de marcadores se pueden utilizar y conmutar usando ctrl-B. Para invocar el gestor de archivos con sólo el marcador rama activa, utilice xfbook4 como la línea de comandos. Xfglob - Buscar resultados El hallazgo rama resultados es donde se muestran los resultados de las consultas de encontrar. Operaciones filemanager completas están habilitados en los resultados. Para invocar el gestor de archivos con sólo el encontrar rama activa, utilice xfglob4 como la línea de comandos. Xffrequent - Archivos frecuentes La rama archivos frecuente contiene una estructura de árbol con los archivos o directorios que se accede con frecuencia a través del administrador de archivos. El umbral de frecuencia predeterminado se establece en 13 golpes, pero se puede cambiar por medio del menú principal. Para invocar el gestor de archivos con sólo la rama reciente activo, utilice xfapps4 como la línea de comandos. Xfrecent - Ultimos archivos La reciente rama archivos contiene una estructura de árbol con los archivos o directorios que se ha accedido recientemente a través del administrador de archivos. El reciente umbral predeterminado se establece en 3 días, pero se puede cambiar por medio del menú principal. Para invocar el gestor de archivos con sólo la rama reciente activo, utilice xfapps4 como la línea de comandos. Xffstab - Fstab puntos de montaje La rama fstab es una forma alternativa de ver el sistema de archivos, donde los dispositivos físicos son enumerados por el punto de montaje. Esto permite un fácil montaje / desmontar las operaciones con el teclado DERECHA y Cursor izquierdo, doble clic del mouse, o selección de menú. Para invocar el gestor de archivos con sólo el fstab rama activa, utilice xffstab4 como la línea de comandos. Xftrash -Trashcan La rama papelera es una colección de contenedores de basura. Estos pueden incluir papeleras xffm o GNOME y KDE contenedores de basura. Esta rama es una forma de gestión de la basura que se genera en las diferentes partes del sistema de ficheros. Usted puede recoger los contenedores de basura que pertenecen a otros usuarios, entre otras funciones disponibles. Para invocar el gestor de archivos con sólo el poder de basura activo, utilice xftrash4 como la línea de comandos. 140

Traducido por Sykrayo España

Los menús La clave para trabajar con el administrador de archivos es la comprensión de los menús. Hay exactamente dos menús para hacer frente a: la principal y la ventana emergente. Dado que este es un administrador de archivos amigable teclado, para ver qué atajos de teclado están disponibles, usted debe examinar los menús. Todos los botones de la barra lateral barra de herramientas y también tienen un elemento de menú correspondiente. El menú principal En la figura es el menú principal. Esto puede ser llamado por la derecha o hacia la izquierda haciendo clic en la barra del menú principal, o la tecla de función F10 presionando. El menú principal consta de cuatro submenús:
   

Instrumentos Abierto Ir Opciones

El menú Go puede ser atenuada si no hay ambigüedad en cuanto a qué cristal de la ventana las funciones deben aplicar. Si tienes algo seleccionado, o sólo tienen un cristal de la ventana visible, no hay ambigüedad. El menú Herramientas El menú de herramientas se pueden mostrar en el menú principal o mediante el uso de F3, y tiene las siguientes entradas:

Terminal: Abre un terminal en el directorio seleccionado. El terminal que se abre se determina por orden de preferencia:  TERMCMD ajustarse de xfce-setting-espectáculo
 xfce4-terminal  xterm

Encontrar: Abre una ventana de diálogo de búsqueda. Los resultados se muestran en una rama resultados Buscar del gestor de archivos.  Diferencias: Abre una ventana de diferencia entre dos archivos seleccionados. Si no se seleccionan archivos, puede arrastrar y soltar en la tarde.  Configuración de la impresora: se abre un cuadro de diálogo para configurar las impresoras.  Lista de cartón: Envía el contenido de la mesa de trabajo actual a la ventana de diagnóstico.

141

Traducido por Sykrayo España

Claro cartón: Borra el contenido de la mesa de trabajo actual (el sistema de archivos es al margen de esta operación).

142

Traducido por Sykrayo España

El Open Menu La carta abierta se activa desde el menú principal o mediante el uso de F4, y tiene las siguientes entradas:
 

  

  

Ejecutar: Oferta de un programa que se ejecute. xftree4: Oferta de una ruta de directorio y se abre una nueva ventana filemanager no. Equivalente a ejecutar xftree4 DIRECTORY_PATH desde una línea de comandos. Ruta absoluta o relativa (a homedir) es aceptable. xfsamba4: Equivalente a ejecutar xfsamba4 desde una línea de comandos. xffstab: Equivalente a ejecutar xffstab4 desde una línea de comandos. xfbook: Oferta de un archivo de marcadores y abre el administrador de archivos allí. Equivalente para ejecutar xfbook4 bookname desde una línea de comandos. xftrash4: Equivalente a ejecutar xftrash4 desde una línea de comandos. xfrecent: Equivalente a ejecutar xfrecent4 desde una línea de comandos. xffrequent: Equivalente a ejecutar xffrequent4 desde una línea de comandos.

El menú go El menú go se puede mostrar en el menú principal o mediante el uso de F5, tiene las siguientes entradas:

 

Ir a: Se abre una consulta donde se puede especificar dónde desea ir. Caminos precedidas por una doble barra (/ /) se interpretan como servidores SMB remotos. Inicio: Vaya a su directorio personal, o para XFFM_HOME si se ha definido con el xfce-mcsmanager. Volver: Va a la ubicación anterior. Adelante: Va hacia adelante (después de un go-back, por supuesto). Up: Va en la estructura de archivos del directorio.

143

Traducido por Sykrayo España

El menú opciones

de

La Opciones menú se puede visualizar desde el menú principal o mediante F6, tiene las siguientes entradas:

  

Preferencias: abre el submenú de preferencias. Temas de edición: corre el xfmime-edit programa que permite personalizar los ajustes de los iconos. Establecer umbral de frecuencia: le permite cambiar el nivel de la frecuencia de su valor por defecto de 13 hits. Ajuste del umbral reciente: le permite cambiar el umbral reciente de su valor predeterminado de 3 días. Ampliar iconos: agranda iconos. Reducir iconos: iconos encoge. xfce-setting-espectáculo: Inicia el xfce-setting-espectáculo programa que le permite mover los valores del gestor mcs.

El menú de preferencias

144

Traducido por Sykrayo España

145

Traducido por Sykrayo España

El submenú de preferencias se activa desde el menú principal o mediante el uso de F7, y tiene las siguientes casillas: Desplazamiento automático: Esto hace que la vista de árbol desplazarse automáticamente cuando se abre una carpeta.  Encabezados de texto: Esta opción ya no está disponible.  Copia de arrastre: Si marca esta opción, la acción de arrastrar y soltar defecto será la copia, si no se controla, el valor por defecto es mover.  Mostrar oculta: Controla si se muestran los archivos ocultos o no.  Imagen auto-previews: Controla si las vistas previas de los archivos gráficos se generan automáticamente en las carpetas de apertura.  Supervisar permitido: Si los cambios en el sistema de archivos deben ser controlados para realizar actualizaciones automáticas.  Defecto GTK selección ratón: Si desea utilizar la selección treeview GTK defecto, o la selección del ratón costumbre introducida en 4.0.x.  Cambiar el tamaño de fuente que busca iconos: Si los tamaños de fuente deben ser escalados hacia arriba o abajo cuando el tamaño del icono cambia.  Desactivar colección autotrash: De forma predeterminada, la basura se recoge de forma automática en la rama basura. Si prefiere recoger la basura manualmente, desactivar esta opción.  Desactivar los colores del texto: Utilice llano blanco y negro para las listas en vez de colores cobardes.  Desactivar la edición de la celda: , El cambio de nombre de usuario / grupo No permitir cambios o modificaciones del modo de edición directa en línea.  Papeleras invisibles: Si no te gusta para ver si existe o no la basura de directorio cuando se abre la carpeta, consulte este artículo.  rcp antes scp: Cuando un xffm recibe una caída desde otra ventana xffm en la misma pantalla, pero se ejecuta en un host diferente, si los archivos se copiarán por scp? En configuraciones de clúster de seguros esto debería ser rcp, pero por lo demás scp.  Detallado diagnóstico: Si marca esta opción, se mejorará la cantidad de procesamiento de la información que aparece en la ventana de diagnóstico.

Los menús emergentes El menú emergente se configura de forma dinámica, en función de lo que esté seleccionado cuando aparezca la ventana emergente. En los párrafos siguientes vamos a examinar los escenarios más comunes. El menú emergente se muestra al hacer clic derecho con el ratón o pulsando F9

El menú emergente libro Aparte de las operaciones normales, este menú emergente también puede abrir un libro llamado, abra el libro por defecto, la lista de todos los libros mencionados, cree un nuevo libro, y guardar el libro actual con un nuevo nombre.

11

Traducido por Sykrayo España

9

Traducido por Sykrayo España

El menú emergente frecuentes Aparte de las operaciones normales, este menú emergente puede restablecer el umbral de frecuencia del valor por defecto de 13 hits.

El menú emergente reciente Aparte de las operaciones normales, este menú emergente puede restablecer el umbral reciente del valor por defecto de 3 días.

120

Traducido por Sykrayo España

El menú emergente fstab (montaje / desmontaje)

Aparte de la normal operaciones, desde este menú emergente que cualquiera puede montar o desmontar volúmenes que figuran en la información del archivo fstab (que puede ser compartidos SMB, NFS volúmenes o sistemas de archivos locales).

El menú emergente de basura

Aparte de las operaciones normales, este menú emergente puede eliminar de manera permanente toda la basura recogida en el sistema de archivos. También puede borrar el contenido de la basura, en cuyo caso tendría que recoger la basura en el directorio emergente para que parezca nuevo.

121

Traducido por Sykrayo España

El menú emergente del directorio

Aparte de las operaciones normales, este menú emergente puede crear archivos tar comprimidos con gzip o bzip. También puede crear archivos ISO de sistemas de archivos para grabar directamente los volúmenes de CD-RW.

122

Traducido por Sykrayo España

El menú emergente de directorio (desmontar)

En el caso en que un directorio también está en la lista en el archivo fstab como punto de montaje, se puede montar / desmontar volúmenes de esta emergente.

El menú emergente del archivo El popup archivo tiene todas las operaciones que normalmente se realizan en los ficheros. Dependiendo del tipo MIME del archivo seleccionado, puede obtener varias opciones con el que abrir el archivo. Estas opciones se construyen a partir de las aplicaciones de tipo MIME de todo el sistema, las aplicaciones de usuario (tipo MIME construidas haciendo clic recordar cuando se usa al aire libre con la función), y de la última aplicación se utiliza para abrir el archivo (si recuerdo fue marcada o no). Así, en la figura anterior se puede observar que el archivo TeX seleccionado tiene varias opciones con el que abrir con. Operaciones con archivos adicionales se incluyen en el sub-menú archivo, se describen a continuación y que se pueda acceder rápidamente con F8. 123

Traducido por Sykrayo España

El submenú emergente archivo El submenú de archivo que se puede acceder rápidamente con F8, contiene las funciones básicas que normalmente se realizan en el sistema de archivos: Propiedades: Modificar información del usuario / grupo o el modo del archivo (también se puede hacer por la edición en línea de los campos).  Nuevo archivo: Crea un nuevo archivo en el directorio seleccionado.  Nuevo directorio: Crea un nuevo directorio dentro del directorio seleccionado.  Imprimir: Imprime el archivo seleccionado mediante

Duplicar: Crea un duplicado del archivo o directorio seleccionado.  Symlink: Crea un enlace simbólico del directorio o archivo seleccionado (también disponible arrastrando ctrl-shift o pastosa que une la mesa de trabajo).  Touch: Toque el archivo o directorio.  Cambiar el nombre de: Cambie el nombre del archivo o directorio (también disponible a través de la edición en línea.  Scramble: Contraseña codifica el archivo. Si el administrador de archivos está compilado con la opción - enable-scrambledir, entonces este artículo no será de color gris para los directorios y el directorio completo puede recursivamente revueltos con la misma contraseña.  Descifra: Decodifica el archivo. La extensión de tipo MIME para los archivos revueltos es. Cyt, por lo que esta opción aparece atenuada si el archivo seleccionado no es del tipo de revueltos. Si scambling recursiva de directorios está habilitada en tiempo de compilación, esta opción también estará activa para los directorios.

xfprint4

El menú emergente NetFile La ventana emergente de archivos de red SMB es similar a la de los archivos locales, pero no contiene el submenú archivo.

124

Traducido por Sykrayo España

Las columnas del menú emergente Si hace clic derecho sobre los títulos de las columnas, se obtiene la columnas emergente. Con este emergente puede alternar los columnas que desean ser visible o no. Por configuración predeterminada, el panel de la derecha tiene todas las columnas opcionales visible, y la columna de la izquierda no tiene ninguna de las columnas opcionales visibles.

El botón inteligente título de icono

Este es el elemento emergente para el título de la columna de iconos. Al mantener presionado a tomar una ventana emergente de los botones aparecerán. Suelte en cualquier botón determina que uno obtiene el clic. Estos botones se utilizan para cambiar las ramas principales dentro y fuera. Si quieres ver la rama fstab, haga clic en el símbolo fstab. Si desea ocultar la sección local, haga clic en el símbolo de la rama local.

El submenú emergente clase El submenú clase le permite cambiar el método de clasificación de conjunto de la vista de árbol. El método sin clasificar implica una clasificación por su nombre y subsorted por tipo de archivo. Usted puede También cambiar el método de clasificación haciendo clic en los títulos de las columnas. El propósito de esta carta es para hacer un método para ordenar alternar disponibles desde el teclado.

125

Traducido por Sykrayo España

Las barras de herramientas La barra de herramientas estándar

La barra de herramientas estándar es un acceso directo a muchas de las funciones del menú. Al hacer clic derecho sobre cualquier botón con una flecha hacia abajo, puede aparecer o dissappear la barra lateral correspondiente. También puede abrir una ventana emergente con los elementos de la barra lateral pulsando con el botón y no soltarlo. A continuación, suelte el elemento emergente que desea hacer clic. El último elemento click del grupo se convierte en el primer botón visible en la barra de herramientas. La barra de herramientas del menú La barra de menú se compone de los siguientes elementos: La caja del filtro

Esto le permite filtrar el contenido de un directorio antes de ser introducido en la vista de árbol. Las expresiones regulares tales como la que se muestra en la figura también son aceptables (además de filtros clásicos como *. C). Después de cambiar la cadena de filtro, actualice la vista. Si la vista de árbol se oculta, nada se filtra. Los botones Mostrar / Ocultar

En la barra de menú, tiene botones para mostrar sólo la vista de árbol a la derecha (también con F12), el árbol de la izquierda (también con F11), se muestran dos vistas de árbol (ya sea F11 o F12 dos veces), y ocultar y mostrar la caja del filtro y el estándar barra de herramientas. (Si ha compilado con - enable-panel, tendrá una segunda barra de herramientas reflectiong configuración xfce4-panel completo con la piel y los botones de mostrar, reemplazando la rama raíz aplicaciones de xffm-4.0). Las barras laterales 126

Traducido por Sykrayo España

Hay varias barras laterales disponibles en la configuración predeterminada.

127

Traducido por Sykrayo España

La barra lateral submenú archivo Consulte la sección "submenú File" para obtener una explicación de las opciones disponibles. Exactamente un elemento debe ser seleccionado de la vista de árbol de esta barra lateral para estar activo.

elemento imprescindible ser seleccionado de la vista de árbol para que éste sea activo. Consulte "Archivo

El go sidebar Consulte "Menú ir" para obtener una explicación de las opciones disponibles.

La barra lateral multiple_select Puedes crear un nuevo archivo o directorio o abra el diálogo de propiedades de aquí. Al menos un

128

Traducido por Sykrayo España

La barra lateral abierta Consulte "Menú abierta" para una explicación de las opciones disponibles.

explicación de las opciones disponibles.

La barra lateral de pasta Puede pegar el contenido del portapapeles, o pasta a vincular los contenidos de la mesa de trabajo. La función de la gomalink crea enlaces simbólicos de

La barra de opciones

Consulte "menú de opciones" para obtener una submenú "para obtener una explicación de los archivos availablethe referencia en el área de trabajo. opciones.

129

Traducido por Sykrayo España

Las herramientas de la barra lateral Consulte "menú de herramientas" para obtener una explicación de las opciones disponibles.

El xfce-mcs-manager Ciertas funciones se desempeñan mejor si está configurado con el plugin de gestor de mcs. Al borrar un archivo, el cuadro de diálogo de confirmación será por defecto a uno de tres botones: cancel, papelera o desvincular. Elige lo que prefieras aquí. Si usted no quiere ninguna salida en absoluto a la ventana de diagnóstico, seleccione la opción Desactivar diagnóstico Si desea mantener la salida de xterms o xfce4-terminales abiertos por el administrador de archivos, seleccione la opción xterms Hold Si quieres sacar el máximo partido de las funciones de montaje / desmontaje proporcionados por el administrador de archivos, es mejor instalar sudo y lo han configurado correctamente para permitir el montaje / desmontaje. Si sudo requiere de una contraseña, el administrador de archivos le pedirá consecuencia. Compruebe el montaje con la opción sudo para esto. 130

Traducido por Sykrayo España

La última parte del plugin mcs permite establecer variables de entorno en la marcha:

TERMCMD: El comando utilizado para la apertura de los terminales.

131

Traducido por Sykrayo España

LANG: La variable de entorno LANG transmitida por el administrador de archivos para las aplicaciones que se abre. Usted sólo tendrá que cambiar esta opción si desea que esta variable sea diferente del que se utiliza para el administrador de archivos.  XFFM_HOME: El camino que el administrador de archivos va a cuando se selecciona la función de casa de Go.  SMB_USER: El% username password por defecto utilizado para las consultas de red SMB.  SMB_CODESET: Conjunto de códigos utilizada para interpretar los caracteres no ASCII en los servidores SMB remotos.  XFFM_STATUS_LINE_LENGTH: Define la longitud máxima de las cadenas que aparecen en la barra de estado. Esta opción se proporciona para evitar la anchura de la ventana del gestor de archivos para crecer más allá de la elección del usuario.  XFFM_MAX_PREVIEW_SIZE: Esta variable de entorno define el tamaño máximo de previsualización de la imagen (en conjunto predeterminado de 256 KB). Tenga en cuenta que algunos avances no se pueden generar si son demasiado delgado o demasiado ancho. Para verlos, instale imagen magia y el uso doble clic para ver estos estos archivos.

La ventana de diagnóstico Esta es la ventana donde se muestra salida de los comandos realizadas por el gestor de ficheros. Si desea aumentar el nivel de detalle, use la preferencia detallado, y si que desee desactivar la salida por completo, utilice el plugin mcs.

132

Traducido por Sykrayo España

Herramientas Helix
Al hacer clic en el botón Inicio de Helix revela una serie de comandos y submenús. Este menú también está disponible haciendo clic derecho en cualquier parte del escritorio. El menú principal Ejecutar programa ... abre una herramienta de línea de comandos simple para permitir a los usuarios iniciar rápidamente programas. Terminal abre una ventana de terminal, sin embargo, los comandos en esta ventana no se registran. Para opciones de registro y reproducción, utilice el icono de terminal en la barra de tareas. Administrador de Montaje se abrirá una ventana xffstab y permitir al usuario gestionar los dispositivos que han sido montados. Dispositivos Rescan se puede utilizar para acceder a los dispositivos que no han sido detectados automáticamente. Ayuda, Acerca de y Salir realizar las acciones que normalmente se espera.

El menú Forense En el submenú Forensics, los siguientes comandos están disponibles: Adepto fue desarrollado para llevar a cabo la adquisición de imágenes y generar una cadena de custodia. Aire es un front-end GUI de dd. Lino es una herramienta de adquisición de imágenes de software guidence, que puede ser usado para capturar sospechosos de medios y crear imágenes que pueden ser procesados por el EnCase Forensic Toolkit. Perdiguero es una imagen (imagen / video) capturando utilidad para los "golpes y conversaciones", "ojeadas rápidas" y las búsquedas generales. Puede escanear un dispositivo montado y localizar todas las imágenes y archivos de película. Autopsia es un navegador forense es una interfaz gráfica para las 133

Traducido por Sykrayo España

herramientas de línea de comandos en el kit Sleuth. Pueden ser utilizados para analizar los sistemas Windows o Linux.

134

Traducido por Sykrayo España

pyFlag está diseñado para simplificar el proceso de análisis de archivo de registro y las investigaciones forenses. Regviewer es un navegador de archivos de registro de Windows. HexEditor es un editor binario simple. Permite a los usuarios ver y editar un archivo binario, tanto en hexadecimal y ASCII con un nivel de múltiples deshacer / rehacer mecanismo. Xfce Dif. es GUI para los comandos diff y patch GNU. Con esta utilidad, puede ver las diferencias entre los archivos o directorios. xhfs es un navegador de sistema de archivos para Macintosh El menú Manuales El menú Manuales contiene cuatro manuales de referencia en línea: pyFlag cubre el funcionamiento básico de la utilidad pyFlag. RAID-Montaje detalla algunas de las cuestiones involucradas en la reconstrucción de unidades RAID para el análisis forense. Partición-Info enumera los identificadores de partición para muchos tipos de particiones diferentes. Sleuthkit-Informer artículos contiene 21 números del boletín bimensual. El menú de Respuesta a Incidentes El menú de Respuesta a Incidentes contiene 3 utilidades: Etéreo es el clásico analizador de protocolos de red. ClamAV es el conjunto de herramientas GPL Clam Antivirus para UNIX. F-Prot AntiVirus se ha desarrollado para identificar y eliminar los virus que amenazan a las estaciones de trabajo que ejecutan Linux.

135

Traducido por Sykrayo España

El menú de Office El menú de Office contiene 4 utilidades: Visor de PDF Para ver archivos PDF Acrobot. Escritor - Un procesador de textos compatible con MS Word. Impresionar - Un programa de presentación compatible con MS PowerPoint. Calc - Un programa de hoja de cálculo compatible con Excel MS. Además, existen numerosas otras herramientas basadas en Linux disponibles en los otros menús.

136

Traducido por Sykrayo España

Adepto Adepto fue creado por Drew Fahey de e-fense.com Adepto es un GUI front-end a dd / dcfldd / sdd y fue diseñado para simplificar la creación de imágenes de bits forenses, y para crear automáticamente una cadena de custodia. Adepto Características Adepto tiene varias características y posibilidades, que incluyen los siguientes: • • • • • • • • • auto-detección de IDE y SCSI, CD-ROM y unidades de cinta posibilidad de utilizar dd, dcfldd o sdd verificación de la imagen entre la fuente y la copia a través de MD5 o SHA1 compresión de imagen / descompresión a través de gzip/bzip2 imagen sobre una red TCP / IP a través de Netcat / Cryptcat o SAMBA (NetBIOS) unidades de cinta SCSI apoyos limpiar (puesta a cero) duros o particiones dividir las imágenes en múltiples segmentos El registro detallado con fechas / horas y completa de línea de comandos utilizados.

A partir Adepto Al iniciar Adepto, se le pedirá un usuario y una number.This caso es muy útil para hacer el seguimiento de varios casos, así como el mantenimiento de una cadena de custodia. El número de caso se basa en la fecha actual, pero puede ser modificado para ajustarse al tamaño de su sistema de numeración caso. Una vez que el usuario hace clic en "Go", el programa permite el acceso a varias pestañas: Información del dispositivo, adquirir, restaurar / Clone, Corredera, Cadena de Custodia. Información del dispositivo La ficha Información del dispositivo mostrará información acerca de los diversos dispositivos en el sistema. Seleccione el nombre del dispositivo mediante el menú desplegable. 137

Traducido por Sykrayo España

El botón de descarga al lado de la caja de presentación, aparecerá una lista de todos los dispositivos conectados al sistema. Si el dispositivo no está en la lista, hacer clic en "[Volver a escanear dispositivos]" hipervínculo. Una vez seleccionado el dispositivo, se mostrará la información, como la marca, modelo, etc, para el dispositivo.

Adquirir Una vez que se ha seleccionado un dispositivo, la ficha Adquirir estará disponible, donde el usuario puede seleccionar varias opciones para la copia real. El usuario puede introducir notas de imagen opcionales. Según la información de destino, el usuario puede seleccionar los dispositivos que están conectados físicamente al sistema o conectados a la red mediante NetBIOS o Netcat. El usuario y especificar las opciones para el comando dd, incluyendo el tipo de hash, el tamaño del segmento, y las opciones avanzadas que incluyen tamaños de bloques y más. Una vez seleccionadas las opciones, las latas de usuario seleccione "Start 138

Traducido por Sykrayo España

..." para iniciar el proceso de adquisición. Desde Adepto es un front-end de dd, usted está realmente utilizando dd adquirir las imágenes. GRAB sólo hace la línea de comandos larga ya veces fea más fácil

139

Traducido por Sykrayo España

manage.You debe estar familiarizado con la sintaxis dd antes de embarcarse en el uso de Adepto como su herramienta de adquisición, pero no es necesario. Hemos de tener en cuenta que pueden causar la pérdida permanente de los datos de su DISCOS DUROS si invierte los dispositivos origen y destino. Si desea enviar la imagen capturada a un servidor de red a través de Netcat / Cryptcat o Samba utilizando NetBIOS. Una vez seleccionado el tipo de destino que se le solicitará la información adicional necesaria para establecer el conectado. Si desea utilizar Netcat / Cryptcat, a continuación, escriba la dirección IP del servidor y el número de puerto que el Netcat / Servidor Cryptcat está escuchando. Si selecciona NetBIOS, tendrá que hacer clic en el botón [Obtener share] hipervínculo que aparezca un cuadro de diálogo de "montaje remoto Share".

Restaurar / Clonar La ficha Restaurar / Clone permite al usuario restaurar una imagen a un dispositivo o recombinar las imágenes divididas en un solo archivo. Para restaurar una imagen dividida, el usuario especifica el primer archivo de la serie de división (normalmente termina con una .000), a continuación, selecciona una unidad de destino, o en un archivo de destino. Al hacer clic en el botón Restaurar completará la tarea. Esta ficha también permite al usuario para clonar un dispositivo a otro. Al igual que los servicios públicos como Drive Image y Ghost, salvo que se haga una copia forense del dispositivo fuente. En ambos casos, el dispositivo de destino debe ser montado como lectura / escritura.

140

Traducido por Sykrayo España

Log La ficha de registro muestra un registro de datos de todas las acciones que el usuario está haciendo.

Cadena de Custodia Adepto creará automáticamente un formulario de cadena de custodia según el dispositivo que se va a examinar. El usuario sólo tiene que llenar sólo el número de pruebas y haga clic en el botón Crear. Un formulario de cadena de custodia se guardará en la unidad de destino.

141

Traducido por Sykrayo España

AIR: Imagen automatizada y restauración Desarrollado por Steve Gibson. Disponible desde https://sourceforge.net/projects/air-imager/ A continuación se toma de http://air-imager.sourceforge.net/ AIR (Automated Image and Restore) es una interfaz gráfica de usuario front-end a dd / dcfldd diseñado para crear fácilmente imágenes de bits forenses. Características: • auto-detección de IDE y SCSI, CD-ROM y unidades de cinta • posibilidad de utilizar dd o dcfldd • verificación de la imagen entre la fuente y la copia a través de MD5 o SHA1/256/384/512 • compresión de imagen / descompresión a través de gzip/bzip2 • imagen sobre una red TCP / IP a través de netcat / cryptcat • unidades de cinta SCSI apoyos • limpiar (puesta a cero) duros o particiones • dividir las imágenes en múltiples segmentos • el registro detallado con fechas / horas y completa de línea de comandos utiliza

142

Traducido por Sykrayo España

143

Traducido por Sykrayo España

Ropa: EnCase herramienta de adquisición de imágenes. Desarrollado por EnCase. Disponible desde http://www.guidancesoftware.com A continuación se toma de http://www.guidancesoftware.com /products/v5_manualexcerpts.asp La utilidad de lino EnCase permite adquirir cualquier dispositivo desde un equipo forense basado en Linux. La utilidad de lino proporciona un método alternativo de adquisición de un dispositivo a través de FastBloc en Windows, o EN.exe en DOS. Este método también permite a los usuarios de hash cualquier dispositivo presente en el sistema operativo Linux que se está ejecutando. Con la introducción de la ropa, los usuarios tienen ahora la posibilidad de adquirir máquinas Linux a través de un cable de conexión desde el cliente de Windows EnCase poniéndolo en modo de servidor. El lino es dependiente de la distribución de Linux que está instalado en. Ver el capítulo de este documento titulado EnCase Utilidad Adquisición de lino para obtener información más detallada. El siguiente se basa en las direcciones desde http://www.guidancesoftware.com / spoyo / articles / acquire_safely.asp,y que han sido modificados para Helix. Local: "Linux Drive to Drive" El Método Local Linux significa que va a iniciar en una distribución de Mount No Auto de Linux y:
• •

Adquirir el disco duro del sospechoso desde su propio ordenador, o Adquirir el disco duro del sospechoso en su / su equipo con el disco duro de almacenamiento en su / su equipo.

PRECAUCIÓN: Para realizar esto, es necesario asegurarse de que el equipo que contiene el disco duro sospechoso se iniciará desde el sistema no Auto Mount Linux SOLAMENTE. Esto es excepcionalmente importante porque si accidentalmente arrancar en el sistema operativo sospechosos, o si su distribución de Linux "Auto-Montes" la sospecha de disco duro, usted va a escribir en el disco duro del sujeto. Tenga cuidado y verifique dos veces cada paso. 1. Conecte el disco duro sospechoso y una unidad de destino con formato FAT32 al ordenador 2. Asegúrese CD Helix está cargado y el sistema está configurado para arrancar desde el CD. Encienda el ordenador 3. Abra un shell de comandos. Cambie la unidad de destino FAT32 para leer / escribir. 4. Cree un punto de montaje para el disco duro de almacenamiento FAT32 escribiendo "mkdir / media/FAT32" 5. Determine el nombre del dispositivo de disco duro mediante el examen de la salida del comando "fdisk-l" a. Como referencia general, Linux sigue las convenciones de nomenclatura siguiente: i.hda - Primary Master II. hdb - Primary Slave iii. hdc - Secondary iv.hdb 144

Traducido por Sykrayo España

Maestro - Esclavo Secundario v Dispositivos FireWire SCSI, USB y se etiquetan como sda, sdb, sdc, etc ...

145

Traducido por Sykrayo España

6. Monte la partición de almacenamiento para el punto de montaje, escriba "mount / dev / hdx # / media/FAT32" ¿Dónde está la unidad y partición que ha encontrado antes en la etapa 5 (Ejemplo: hda3) 'hdx #' 7. Ejecutar el programa de lino escribiendo "lino"

8. Seleccione Adquirir 9. Especifique la ubicación de destino, lo que debería ser "/ media/FAT32" 10. Rellena los campos requeridos restantes y la adquisición comenzará 11. Una vez que la adquisición se haya terminado, salga EnCase para Linux 12. Apague el sistema 13. Ahora quite los cables de alimentación y de datos desde el disco duro sospechoso

146

Traducido por Sykrayo España

Perdiguero Retriever es una nueva herramienta creada por mí exclusivamente para el CD Helix. Retriever es una imagen (imagen / video) de utilidad para la captura de "golpe y conversaciones", "ojeadas rápidas" y las búsquedas generales. Retriever buscará un dispositivo montado y localizar todas las imágenes y archivos de película y puede colocarlos en una llave USB (o la unidad local), así como abrir un visor de imágenes para verlas. Al iniciar el programa, el usuario puede agregar las rutas para examinar haciendo clic en el botón "+ Add", navegando a el directorio y haga clic en Aceptar.

Una vez que se han agregado los caminos, el usuario selecciona el tipo de archivos que están buscando. En este caso, el usuario está buscando la unidad de destino montado en / mnt/hda1, y busca archivos gráficos.

147

Traducido por Sykrayo España

Después de unos minutos, se muestra la lista de archivos que coinciden con el criterio del usuario. En este caso, vemos que se han encontrado 510 archivos gráficos. Retriever ha creado una serie de enlaces simbólicos a estos archivos en el / Tmp / directorio de enlaces (este directorio se puede cambiar mediante el acceso a la ficha "Opciones". El botón Guardar guardará una lista de todos los nombres de archivo y rutas. No va a guardar las imágenes.

Al hacer clic en el botón "Ver" abrirá el administrador de archivos, que muestra miniaturas de las imágenes. Haga doble clic en cualquiera de las imágenes, se abrirá la imagen a tamaño completo.

Para guardar los archivos en un dispositivo extraíble, como una unidad USB, asegúrese de que la unidad está montado como lectura / escritura y cambie la configuración en la ficha "Opciones". 148

Traducido por Sykrayo España

En este caso, el usuario va a copiar los archivos en el directorio / mnt/sda1/images, con la que se encuentra en una unidad USB extraíble. Debe hacer clic en el botón "Buscar" nuevamente, buscará para los gráficos, y como se encuentran, que se copia en el directorio especificado. Además de las imágenes, también habrá un archivo de texto llamado GRÁFICO-logfile contiene las rutas de las todas las imágenes. Cada tipo de búsqueda producirá su propio archivo de registro.

149

Traducido por Sykrayo España

Autopsia Desarrollado por Brian Carrier. Disponible desde http://www.sleuthkit.org/autopsy/ A continuación se toma de http:// Www.sleuthkit.org / autopsia / desc.php El navegador forense Autopsy es una interfaz gráfica para las herramientas de análisis de investigación digitales de línea de comandos en El kit Sleuth. Juntos, pueden analizar Windows y UNIX discos y sistemas de ficheros (NTFS, FAT, UFS1 / 2, Ext2 / 3). The Sleuth Kit y Autopsy son tanto de código abierto y se ejecutan en plataformas UNIX. En la autopsia se basa en HTML, puede conectarse al servidor de Autopsy desde cualquier plataforma con un navegador HTML. Autopsy proporciona un "Administrador de archivos"-como interfaz y muestra detalles acerca de los datos eliminados y estructuras del sistema de archivos. Modos de análisis

Un análisis muerto se produce cuando se utiliza un sistema de análisis dedicado para examinar los datos de un sistema de sospechoso. Autopsia y el kit Sleuth se ejecutan en un entorno de confianza, por lo general en un laboratorio. Un análisis en vivo se produce cuando se analiza el sistema sospechoso mientras se está ejecutando. En este caso, la autopsia y La Sleuth Kit se ejecutan desde un CD en un ambiente no es de confianza. Se utiliza con frecuencia en respuesta a un incidente mientras se confirma el incidente. Después de que se confirmó, el sistema puede ser adquirida y lleva a cabo un análisis muertos.

Pruebas Técnicas de Búsqueda

Archivo de lista: Analizar los archivos y directorios, incluyendo los nombres de los archivos borrados y los archivos con nombres Unicode de base.

150

Traducido por Sykrayo España

Contenido del archivo: El contenido de los archivos se pueden ver en crudo, hexagonal, o las cadenas de caracteres ASCII se pueden extraer. Cuando se interpretan los datos, Autopsia desinfecta que para evitar daños en el sistema de análisis local. La autopsia no utiliza lenguajes de script del lado del cliente.

Bases de datos hash: Buscar archivos desconocidos en una base de datos de hash para identificar rápidamente como bueno o malo. Autopsia utiliza la Biblioteca Nacional de Referencia de Software NIST (NSRL) y el usuario ha creado bases de datos de conocidos buenos y conocidos archivos mal. Tipo de Archivo Clasificación: Ordene los archivos basados en sus firmas internas para identificar los archivos de un tipo conocido. La autopsia también puede extraer sólo las imágenes gráficas (incluidas las miniaturas). La extensión del archivo también se compara con el tipo de archivo para identificar los archivos que pueden haber tenido su extensión cambiada a ocultarlos. Cronograma de Actividades del archivo: En algunos casos, tener una línea de tiempo de actividad de los archivos puede ayudar a identificar las áreas de un sistema de archivos que pueden contener pruebas. Autopsia puede crear líneas de tiempo que contengan entradas para la modificación, Access, y Cambio (MAC) veces de ambos archivos asignados y sin asignar.

151

Traducido por Sykrayo España

152

Traducido por Sykrayo España

Búsqueda de palabras clave: Búsquedas de palabras clave de la imagen del sistema de archivos se pueden realizar utilizando cadenas de caracteres ASCII y expresiones regulares grep. Las búsquedas se pueden realizar ya sea la imagen del sistema de archivos completo o sólo el espacio no asignado. Un archivo de índice puede ser creado para agilizar las búsquedas. Cuerdas que se buscan con frecuencia para se pueden configurar fácilmente en la autopsia para la búsqueda automatizada. • Meta Data Analysis: Estructuras de metadatos contienen los detalles sobre los archivos y directorios. Autopsia le permite ver los detalles de cualquier estructura de metadatos del sistema de archivos. Esto es útil para la recuperación de contenido eliminado. La autopsia buscará los directorios para identificar la ruta completa del archivo que se ha asignado la estructura. • Análisis de datos de la unidad: Las unidades de datos se donde se almacena el contenido del archivo. Autopsia le permite ver el contenido de cualquier unidad de datos en una variedad de formatos, incluyendo ASCII, hexdump y cuerdas. El tipo de archivo también se da y autopsia buscará las estructuras de metadatos para identificar que ha asignado la unidad de datos. • Detalle de la Imagen Detalles del sistema de archivos se pueden ver, incluyendo diseño y el tiempo de actividad en el disco. Este modo proporciona información que es útil durante la recuperación de datos.

Manejo de Casos

Manejo de Casos: Las investigaciones se organizan por casos, que pueden contener uno o más hosts. Cada host está configurado para tener su propia configuración de zona horaria y el reloj no funciona correctamente por lo que las horas son las mismas que el usuario original se habría visto. Cada host puede contener una o varias imágenes del sistema de archivos para analizar. Secuenciador Evento: Eventos basados en el tiempo pueden ser añadidas a partir de la actividad de archivo o IDS y los registros del cortafuegos. Tipo de autopsia los eventos de modo que la secuencia de eventos incidentes se pueden determinar más fácilmente. Notas: Las notas se pueden guardar en una base per-host y per-investigador. Estas te permiten hacer notas rápidas sobre archivos y estructuras. La ubicación original se puede recuperar fácilmente con el clic de un botón cuando las notas son luego revisados. Todas las notas se almacenan en un archivo ASCII archivo. Integridad de la imagen: Es crucial para asegurar que los archivos no se modifican durante el análisis. La autopsia, por defecto, generará un valor MD5 de todos los archivos que se importan o se crean. La integridad de cualquier archivo que utiliza la autopsia pueden ser validadas en cualquier momento. Informes: Autopsia puede crear informes ASCII para los archivos y otras estructuras del sistema de archivos. Esto le permite realizar rápidamente las hojas de datos consistentes durante la investigación. Inicio de sesión: Los registros de auditoría se crean en un caso, de acogida, y el nivel investigador de modo que las acciones se pueden recuperar fácilmente. Los comandos exactos del kit Sleuth que se ejecutan también se registran. Diseño abierto: El código de la autopsia es de código abierto y todos los archivos que utiliza están en un formato raw. Todos los archivos de configuración se encuentran en texto ASCII y los casos son organizadas por directorios. Esto hace que sea fácil de exportar los datos y archivarlo. 153

Traducido por Sykrayo España

También no le restringe el uso de otras herramientas que pueden resolver el problema específico más apropiado. Modelo de servidor de cliente: Autopsy es basada en HTML y por lo tanto usted no tiene que estar en el mismo sistema que las imágenes del sistema de archivos. Esto permite que varios investigadores a utilizar el mismo servidor y conectarse a sus sistemas personales.

La autopsia está escrito en Perl y se ejecuta en las mismas plataformas UNIX como The Sleuth Kit:
• • • •

Linux Mac OS X Abrir y FreeBSD Solaris

154

Traducido por Sykrayo España

pyFlag Desarrollado por David Collett y Michael Cohen. D i s p o n i b l e d e s d e
http:/ /pyflag.sourceforge.net /

A continuación se toma de http://pyflag.sourceforge.net/ FLAG (Forense y Log Analysis GUI) fue diseñado para simplificar el proceso de análisis de archivo de registro y las investigaciones forenses. A menudo, cuando se investiga un caso grande, una gran cantidad de datos necesitan ser analizados y correlacionados. PyFlag utiliza una base de datos como un motor para ayudar en la gestión de los grandes volúmenes de datos. Esto permite PyFlag a seguir respondiendo y agilizar las operaciones de manipulación de datos. Desde PyFLAG está basado en la web, que es capaz de ser desplegado en un servidor central y compartido con un número de usuarios al mismo tiempo. Los datos se cargan en los casos que se guarda la información separado. PyFlag comenzó como un proyecto en el Departamento de Defensa de Australia. Ahora está alojado en Sourceforge. A continuación se toma de http://pyflag.sourceforge.net/DOCUMENTACIÓN / manual / index.html Visión de conjunto La arquitectura general PyFlag se muestra a continuación.

Los siguientes son los principales componentes de PyFlag:

Fuentes IO: datos forense es a menudo disponibles en una variedad de diferentes formatos. La fuente IO es un PyFlag permitiendo la abstracción para manejar los tipos de archivos de entrada arbitrarias usando diferentes drivers para presentar una vista lógica coherente y uniforme de los datos. El gestor de sistema de archivos: imágenes forenses contienen una gran variedad de sistemas de archivos. El controlador de sistema de archivos permite PyFlag para soportar diferentes formatos de sistemas de archivos. El controlador de sistema de 155

Traducido por Sykrayo España
archivos es responsable de llenar inicialmente el VFS con un listado de los archivos que se encuentran en el sistema de archivos que se investiga.

156

Traducido por Sykrayo España

El sistema de archivos virtual: PyFlag utiliza la idea original de Unix que "todo es un archivo". La VFS es el principal escenario para la presentación de información a los usuarios. Los archivos en el VFS no existen necesariamente en la imagen, sino que representan la información que se ha deducido sobre el sistema de archivos. • Escáner: exploración es un proceso que pasa todos los archivos en un directorio determinado a través de uno o más escáneres. Un escáner es un componente que estudia los archivos que se están escaneados y recopila información sobre estos archivos. Esto puede incluir la adición de nuevos archivos en el VFS (que podrían ser escaneados de nuevo). • El widget de interfaz gráfica de usuario y la tabla: La interfaz gráfica de usuario proporciona un mecanismo para examinar los resultados de los escáneres, y la navegación de los VFS. Un informe es un conjunto limitado de funciones que proporciona acceso a los datos recogidos por los escáneres especializados. • Procesamiento y la automatización: Es genial ser capaz de usar la interfaz gráfica de usuario para el examen de los datos, pero a menudo queremos automatizar ciertas tareas para que puedan hacerse más eficiente. Esta sección cubre flash (The Shell Flag). • Network Forensics: En esta sección se describe el análisis forense módulo de red de PyFlag.

Hay algunos excelentes tutoriales disponibles en: • • http://wiki.lca2006.linux.org.au / Py2520Tutorial Flag% http://pyflag.sourceforge.net/Documentation / tutoriales / index.html

157

Traducido por Sykrayo España

Regviewer Desarrollado por Chris Águila. Disponible desde http://sourceforge.net/projects/regviewer / Regviewer es un navegador de archivos de registro de Windows. Es independiente de la plataforma que permite el examen de los archivos de registro de Windows desde cualquier plataforma. Es particularmente útil cuando se realizan análisis forense de archivos de Windows de los sistemas * nix. Aunque el registro parece estar en un archivo, se coloca realmente en el equipo en varios archivos. Dependiendo de la configuración del sistema, archivos de registro se pueden encontrar en cualquiera de los siguientes lugares: Para los sistemas Windows 95, 98 y Me: C: \ Windows \ System.dat C: \ Windows \ User.dat C: \ Windows \ Profiles \ Policy.pol En Windows 2000 y XP C: \ Documents and Settings \ nombre de usuario \ Ntuser.dat C: \ Windows \ System32 \ Config \ Security, SYSTEM.ALT, Default, Sam, Software, Sistema Los siguientes magos se toman de http :/ / www.cs.usask.ca / estudiantes de licenciatura/ Das322/Cmpt352/DFT/index.html Cuando se inicia la aplicación regviewer, verá la siguiente pantalla.

158

Traducido por Sykrayo España

Al seleccionar Registro / Importar archivo del Registro ..., se abrirá una ventana de directorio. Vaya a la ubicación en la que la sección del Registro que desea examinar ubicada.

Se mostrará el directorio y se puede navegar de una manera muy similar a la de Windows Programa Regedit.

159

Traducido por Sykrayo España

HexEditor (GHex) Desarrollado por Jaka Mocnik. Disponible desde http://directory.fsf.org / text / editores / ghex.html GHex es un editor binario simple. Permite a los usuarios ver y editar un archivo binario, tanto en hexadecimal y ascii con múltiples niveles de deshacer / rehacer mecanismo. Las características incluyen funciones de búsqueda y reemplazo, la conversión entre binario, octal, valores decimales y hexadecimales, y el uso de una alternativa, el concepto de MDI configurable por el usuario que permite a los usuarios editar varios documentos con múltiples puntos de vista de cada uno. Para examinar cualquier archivo, seleccione Archivo / Abrir y seleccione el archivo que desea examinar.

160

Traducido por Sykrayo España

Xfce Dif. Desarrollado por Edscott García. Disponible desde http://www.xfce.org Xfdiff 4.3.4 es la interfaz gráfica de los comandos de parche GNU diff y. Con esta utilidad, puede ver las diferencias de lado a lado de los archivos o directorios. También puede ver las diferencias que la aplicación de un parche archivo implicaría, sin aplicar el parche. También puede aplicar parches en el disco duro o crear archivos de revisión de las diferencias entre los archivos o directorios.

Aquí está comparando Xfdiff dos archivos diferentes (imagen tomada de http://xffm.sourceforge.net / imágenes / xfdifF/)

161

Traducido por Sykrayo España

xhfs Desarrollado por Robert Leslie. Disponible desde http://www.mars.org / home/ Rob / proj / hfs/ El siguiente fue tomado de http:/ / Linuxcommand.org/man_pages/xhfs1.html xhfs es una interfaz gráfica para manipular volúmenes HFS (Macintosh) SINOPSIS xhfs [left-path [right-path]] DESCRIPCIÓN xhfs presenta un front-end gráfico para la navegación y la copia de archivos en volúmenes con formato HFS.

La pantalla se divide en dos partes, izquierda y derecha, que se puede ver cada uno independientemente un directorio en ya sea un volumen HFS o el anfitrión (UNIX) sistema de archivos. Haga doble clic en el nombre de un directorio en la vista se abre ese directorio. Un menú pop-up en la parte superior de cada vista de directorio se puede utilizar para navegar en cualquier directorio entre el actual y el principio de la jerarquía.

162

Traducido por Sykrayo España

Los archivos de texto se pueden ver haciendo doble clic en ellos. Cualquier archivo o conjunto de archivos se pueden copiar en el directorio que se muestra en el otro punto de vista, seleccionándolos y haciendo clic en el botón "Copy". La copia se realiza de acuerdo con el modo de copia seleccionado: MacBinary II El archivo (s) se copia en el formato MacBinary II. Este es el modo recomendado para la transferencia de archivos de Macintosh arbitrarias. BinHex El archivo (s) se copia en el formato BinHex. Este modo se debe utilizar para codificar Archivos de Macintosh en estricto formato ASCII. Texto En este modo, sólo el tenedor de datos (s) del archivo seleccionado (s) son copied.Furthermore, la traducción se realiza en caracteres de fin de línea de la información para cumplir con el estándar para archivos de texto en el destino. Raw Data En este modo, sólo el tenedor de datos (s) del archivo seleccionado (s) se copian. Sin embargo, ninguna traducción se lleva a cabo en absoluto en los datos. Automático A modo de copia se selecciona automáticamente de acuerdo a un conjunto de heurísticas.

163

Traducido por Sykrayo España

Etéreo Desarrollado por Gerald Combs. Disponible desde http://www.ethereal.com/ Ethereal es una herramienta sofisticada y compleja lo que le permitirá navegar interactivamente el tráfico de red. En las próximas páginas tienen simplemente una reimpresión de la página de manual - lo suficiente como para darle un vistazo a su alrededor. Para conocer realmente cómo utilizar esta herramienta, diríjase a http://www.ethereal.com/,donde puede descargar los manuales y otra documentación. Asegúrese de revisar la Wiki Ethereal http://wiki.ethereal.com / - Un tesoro de tutoriales, archivos de ejemplo, y cómo-a guías. A continuación se toma de http://www.ethereal.com / Ethereal ® es utilizado por los profesionales de la red de todo el mundo para la solución de problemas, el análisis, desarrollo de software y protocolos, y la educación. Tiene todas las características estándar que usted esperaría en un analizador de protocolos, y varias características que no se ve en ningún otro producto. Su licencia de código abierto permite talentosos expertos en la comunidad de red para agregar mejoras. Se ejecuta en todas las plataformas informáticas más populares, incluyendo Unix, Linux y Windows. Ethereal es todavía técnicamente software beta, pero tiene un conjunto de características y es adecuado para su uso en producción. Aquí está la lista de características, la corriente desde la versión 0.9.14, sin ningún orden en particular: • • Los datos pueden ser capturados "el alambre" de una conexión de red activa, o leídos desde un archivo de captura. Ethereal puede leer archivos de captura de tcpdump (libpcap), de NAI Sniffer ™ (comprimido y sin comprimir), Sniffer ™ Pro, NetXray ™, Sun snoop y atmsnoop, y muchos otros programas. Cualquiera de estos archivos se pueden comprimir con gzip y Ethereal se descomprimirlos sobre la marcha. Datos en tiempo real se pueden leer en Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, IP clásico sobre ATM, y las interfaces de bucle invertido (al menos en algunas plataformas, no todos los tipos son compatibles con todas las plataformas). Datos de red capturados se pueden consultar a través de una interfaz gráfica de usuario, oa través del programa de TTY-mode "tethereal". Los archivos de captura pueden ser editadas mediante programación o convertidos a través de interruptores de línea de comandos para el programa "editcap". 750 protocolos actualmente pueden ser diseccionados: La salida se puede guardar o imprimir como texto plano o PostScript ®. Visualización de datos puede ser refinado utilizando un filtro de pantalla. Filtros de visualización también se puede utilizar para resaltar selectivamente y color resumen de información de paquetes. Todo o parte de cada traza de red capturados se pueden guardar en el disco.

• • • • • • •

Lo siguiente es de http://www.ethereal.com/ Hacercs/man-pages/ethereal.1.html 164

Traducido por Sykrayo España

Synopsys etéreo [-A condición autostop captura] ... [-B opción de memoria cíclica captura] ... [Bcaptura de tamaño de búfer (Win32 únicamente)] [-c captura recuento de paquetes] [-f filtro de captura] [-g número de paquete] [- h] [-i interfaz de captura] [-k] [-l] [-l] [ -m font] [-n] [-N nombre resolver banderas] [opreferencias / ajuste reciente] ... [-P] [-Q] [-r infile] [-R read (display) de filtro] [-S] [-s captura snaplen] [-T formato de fecha y hora] [-v] [-w archivo de salvar] [-y la captura de tipo link] [-z estadísticas] [infile]

DESCRIPCIÓN Etéreo es un analizador de protocolos de red GUI. Te permite navegar interactivamente paquetes de datos de una red viva o de un archivo de captura previamente guardado. Formato de archivo de captura nativa de Ethereal es un formato libpcap, que es también el formato utilizado por tcpdump y otras herramientas. Etéreo puede leer / importar los siguientes formatos de archivo: libpcap, tcpdump y otras herramientas que utilizan el formato de captura de tcpdump snoop y atmsnoop Shomiti / Finisar capturas Surveyor Novell LANalyzer captura Microsoft Network Monitor capturas Iptrace capturas de AIX Cinco Redes NetXRay capturas Network Associates Sniffer captura basados en Windows General de la Red / Network Associates DOS Sniffer (comprimido o sin comprimir) capturas • Grupo AG / WildPackets EtherPeek / TokenPeek / AiroPeek / EtherHelp / capturas PacketGrabber • RADCOM WAN / LAN analizador de capturas • Network Instrumentos Observador versión 9 capturas • Resultado de la depuración enrutador Lucent / Ascend • archivos de Nettl de HP-UX • Routers RDSI salida de volcado de Toshiba • la salida de i4btrace del proyecto ISDN4BSD • rastros de la AURALL Office S0. • la salida en formato iplog del Secure Cisco Intrusion Detection System • pppd logs (formato pppdump) • la salida del VMS TCPIPtrace / tcptrace / UCX $ TRACE utilidades • la salida de texto de la DBS Etherwatch VMS utilidad • Captura de tráfico UpTime Visual Visual Networks • la salida de CoSine L2 depuración • la salida de 5Views agentes LAN de Accellent • Formato de ERF Endace Measurement Systems 'captura • Linux Bluez Bluetooth stack hcidump-w huellas
• • • • • • • • •

No hay necesidad de decir Ethereal qué tipo de archivo que está leyendo, que determinará el tipo de archivo por sí mismo. Ethereal es también capaz de leer cualquiera de estos formatos de archivo si están comprimidos con gzip. Etéreo reconoce esto directamente desde el archivo; la extensión '. Gz' no se

165

Traducido por Sykrayo España

requiere para este propósito.

166

Traducido por Sykrayo España

Al igual que otros analizadores de protocolo, la ventana principal de Ethereal muestra 3 opiniones de un paquete. Muestra una línea de resumen y una breve descripción de lo que el paquete es. Una pantalla de detalles de paquetes se muestra, lo que permite profundizar el protocolo exacto o campo que se interese Por último, un volcado hexadecimal le muestra exactamente lo que el paquete se parece a cuando circule por el cable. Además, Ethereal tiene algunas características que lo hacen único. Se puede reunir todos los paquetes en una conversación TCP y le mostrará los datos ASCII o EBCDIC (o hex) en esa conversación. Mostrar filtros en Ethereal son muy poderosos; mas los campos son filtrable en Ethereal que en otros analizadores de protocolo, y la sintaxis que se puede utilizar para crear sus filtros es más rica. A medida que avanza Ethereal, esperan más y más campos de protocolo que se permita en los filtros de visualización. Captura de paquetes se lleva a cabo con la biblioteca PCAP. La sintaxis del filtro de captura sigue las reglas de la biblioteca pcap. Esta sintaxis es diferente de la sintaxis de filtros de visualización. Soporte para archivos comprimidos utiliza (y por lo tanto requiere) la biblioteca zlib. Si la biblioteca zlib no está presente, Etéreo compilará, pero no será capaz de leer archivos comprimidos. La ruta de acceso de un archivo de captura para ser leído se puede especificar con la opción-r, o se puede especificar como un argumento de línea de comandos.

OPCIONES La mayoría de los usuarios querrán empezar Ethereal sin opciones y configurarlo desde los menús del lugar. Los usuarios sólo pueden saltarse esta sección. -Un Especifique un criterio que especifica cuándo Ethereal es dejar de escribir en un archivo de captura. El criterio es el de la prueba de forma: valor, donde la prueba es uno de: duración: valor Deje de escribir en un archivo de captura después de que hayan transcurrido segundo valor. tamaño del archivo: el valor Deje de escribir en un archivo de captura después de que alcance un tamaño de kilobytes de valor (en un kilobyte es 1000 bytes, no a 1024 bytes). Si esta opción se utiliza junto con la opción-b, Ethereal se deje de escribir en el fichero de captura actual y pasar a la siguiente si se alcanza tamaño del archivo. Archivos: valor Deje de escribir para capturar archivos fueron escritos después del valor de los archivos. -B Causa Ethereal para ejecutarse en varios archivos ``'' Modo. En `` varios archivos'' modo, Ethereal escribirá a varios archivos de captura. Cuando el primer archivo de captura se llena, Ethereal se cambiará la escritura al archivo siguiente y así sucesivamente. Los nombres de los archivos creados se basan en el nombre de archivo dado con el distintivo-w, el número del archivo y la fecha y hora de creación, por ejemplo, savefile_00001_20050604120117.pcap, savefile_00001_20050604120523.pcap, ... 167

Traducido por Sykrayo España

Con la opción de archivos también es posible formar un `` anillo de separación''. Esta se llenará de nuevos archivos hasta que se especifique el número de archivos, y en ese momento Ethereal, se descartarán los datos en el primer archivo y empezar

168

Traducido por Sykrayo España

escrito a ese archivo y así sucesivamente. Si la opción de archivos no se ha establecido, los nuevos archivos se llenaron hasta que una de las condiciones de parada de captura coincide (o hasta que el disco si está lleno). El criterio es de la forma clave: valor, donde la clave es uno de: duración: valor cambiar al archivo siguiente, después de que hayan transcurrido valor segundos, incluso si el archivo actual no se llena por completo. tamaño del archivo: el valor cambiar al archivo siguiente después de que alcance un tamaño de kilobytes de valor (donde un kilobyte es 1000 bytes, no a 1024 bytes). Archivos: valor empezar de nuevo con el primer archivo después del valor de los archivos fueron escritos (formar una memoria cíclica). -B Win32 solamente: establecer el tamaño de búfer de captura (en MB, por defecto es de 1 MB). Esto es utilizado por el controlador de la captura a búfer de paquetes de datos hasta que los datos se pueden escribir en el disco. Si tiene pérdida de paquetes durante la captura, intente aumentar este tamaño. -C Establecer el número máximo de paquetes para leer en la captura de datos en tiempo real. -F Establezca la expresión de filtro de captura. -G Después de leer en un archivo de captura utilizando el indicador-r, vaya al número de paquete dado. -H Imprimir la versión y las opciones y salir. -I Establezca el nombre de la interfaz de red de tubería que se utilizará para la captura de paquetes en directo. Nombres de interfaz de red debe coincidir con uno de los nombres que figuran en ``'' tethereal-D. Si está utilizando Unix, `` netstat-i'' o `` ifconfig-a'' también podría funcionar para listar los nombres de interfaces, aunque no todas las versiones de Unix soportan la opción-a para ifconfig. Nombres de tuberías deben ser el nombre de un FIFO (tubería con nombre) o `` -'' para leer datos de la entrada estándar. Los datos leídos de los tubos deben estar en formato libpcap estándar. -K Inicie la sesión de captura inmediatamente. Si se especifica la opción-i, la captura utiliza la interfaz especificada. De lo contrario, las búsquedas Ethereal la lista de interfaces, la elección de la primera interfaz activa sin bucle si hay alguna interfaz sin bucle, y elegir la primera interfaz de bucle invertido si no hay interfaz sin bucle, y si no hay interfaces, reportes Ethereal un error y no se inicia la captura. -L Encienda el desplazamiento automático si la pantalla paquete se actualiza automáticamente a medida que llegan los paquetes durante una captura (según lo especificado por la opción-S). -L Enumere los tipos de enlace de datos soportados por la interfaz y salida. 169

Traducido por Sykrayo España

-M Establezca el nombre de la fuente utilizada por Ethereal para la mayoría de texto. Ethereal construirá el nombre del tipo de letra negrita se utiliza para los datos en el panel de vista byte correspondiente al campo seleccionado en el panel de detalles de paquete a partir del nombre de la fuente de texto principal.

170

Traducido por Sykrayo España

-N Desactivar la resolución de nombres de objeto de red (por ejemplo, los nombres de puerto UDP nombre de host TCP y), el indicador-N podría invalidar éste. -N Encienda el nombre resolver únicamente para determinados tipos de direcciones y números de puerto, con el nombre de la resolución de otros tipos de direcciones y números de puerto desactivada. Esta bandera anula-n si ambos-N y-n presentes. Si ambos-N y-N banderas no están presentes todas las resoluciones de nombres están encendidos. El argumento es una cadena que puede contener las letras: mpara permitir la resolución de la dirección MAC npara permitir la resolución de direcciones de red tpara permitir que la capa de transporte resolución número de puerto Cpara habilitar búsquedas DNS simultáneas (asíncronos) -O Establezca una preferencia o valor reciente, anulando el valor por defecto y cualquier valor leído de una preferencia / archivo reciente. El argumento de la bandera es una cadena de la forma prefname: valor, donde prefname es el nombre de la preferencia / value reciente (que es el mismo nombre que aparece en el archivo de preferencias / reciente), y el valor es el valor al que se debe establecer. Banderas Desde Ethereal 0.10.12, los ajustes recientes sustituye al anteriormente utilizado-B,-P y-T para manipular las dimensiones GUI. -P No haga poner la interfaz en modo promiscuo. Tenga en cuenta que la interfaz puede estar en el modo promiscuo por alguna otra razón, por lo que-p no se puede utilizar para asegurar que el único tráfico que se captura es el tráfico enviado a o desde la máquina en la que etérea se está ejecutando, el tráfico de difusión, y el tráfico de multidifusión a las direcciones recibidas por esa máquina. -Q Causa etéreo para salir después del final de la sesión de captura (útil en el modo por lotes con la opción-c por ejemplo); esta opción requiere que el i-y-w parámetros. -R Leer datos de paquetes de infile. -R Cuando se lee un archivo de captura especificado con el indicador-r, hace que el filtro especificado (que utiliza la sintaxis de filtros de visualización, en lugar de la de los filtros de captura) que se aplicará a todos los paquetes leídos del archivo de captura; paquetes no coincida con el filtro son desechado. -S Actualizar automáticamente la visualización de paquetes como paquetes vienen pulg -S Configure la longitud predeterminada de instantáneas de usar al capturar datos en tiempo real. No más de snaplen bytes de cada paquete de red se pueden leer en la memoria o guardar en disco. -T Ajuste el formato de la fecha y hora de paquetes se muestra en la ventana de la lista de paquetes, el valor predeterminado es relativo. El formato puede ser uno de: rrelativo: El tiempo relativo es el tiempo transcurrido entre el primer paquete y el paquete actual 171

Traducido por Sykrayo España

unabsoluta: El tiempo absoluto es el tiempo real fue capturado el paquete, sin fecha muestra

172

Traducido por Sykrayo España

anuncio absoluta con fecha: La fecha y tiempo absoluto es el tiempo real y la fecha fue capturado el paquete ddelta: El delta de tiempo es el tiempo desde que se capturó el paquete anterior -V Imprima la versión y sale. -W Establezca el nombre del archivo de captura por defecto. -Y Si la captura se inicia desde la línea de comandos-k, establezca el tipo de enlace de datos para utilizar durante la captura de paquetes. Los valores reportados por-L son los valores que se pueden utilizar. -Z Obtenga Ethereal para recoger distintos tipos de estadísticas y mostrar el resultado en una ventana que se actualiza en tiempo semi-real. Actualmente las estadísticas implementadas son: -Z dcerpc, srt, uuid, major.minor, [Filtro] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para DCERPC interfaz uuid, version major.minor. Los datos recogidos es el número de llamadas para cada procedimiento, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z dcerpc, srt ,12345778-1234-ABCDEF00-0123456789ac, 1.0 para recopilar datos para SAMR interfaz CIFS. Esta opción se puede usar varias veces en la línea de comandos. Si se proporciona el filterstring opcional, las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z dcerpc, srt ,12345778-1234-ABCD-EF00-0123456789ac, 1.0, ip.addr == 1.2.3.4 para recopilar estadísticas SAMR SRT para un host específico. -Z io, stat Recoger paquete / statistics bytes para la captura en intervalos de 1 segundo. Esta opción se abrirá una ventana con hasta 5 gráficos codificados por colores en número de paquetes por segundo o de número de bytes por segundo estadísticas pueden ser calculados y mostrados. Esta opción se puede usar varias veces en la línea de comandos. Esta ventana gráfica también se puede abrir desde el Análisis: Estadísticas: Tráfico: elemento de menú IO-Stat. -Z rpc, srt, el programa, la versión [, <filter>] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para el programa / version. Los datos recogidos es el número de llamadas para cada procedimiento, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z rpc, srt, 100003,3 para recopilar datos para NFS v3. Esta opción se puede usar varias veces en la línea de comandos. Si no se proporciona la cadena de filtro opcional, las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z rpc, srt, 100003,3, nfs.fh.hash == 0x12345678 para recopilar estadísticas NFS v3 SRT para un archivo específico. 173

Traducido por Sykrayo España

-Z rpc, programas Llamada por cobrar / respuesta RTT de datos de todos los programas / versiones ONC-RPC conocidos. Los datos recogidos es el número de llamadas para cada protocolo / versión, MinRTT, MaxRTT y AvgRTT.

174

Traducido por Sykrayo España

-Z smb, srt, [Filtro] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para SMB. Los datos recogidos es el número de convocatorias de cada comando SMB, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z smb, srt. Los datos se presentarán en forma de tablas separadas para todos los comandos SMB normales, todos los comandos Transaction2 y todos los comandos de transacción NT. Sólo los comandos que se ven en la captura tendrá sus estadísticas muestran. Sólo el primer comando en una cadena de mando xAndX se utiliza en el cálculo. Así que para las cadenas de SessionSetupAndX + TreeConnectAndX comunes, sólo la llamada SessionSetupAndX se utilizará en las estadísticas. Este es un defecto que podría ser corregido en el futuro. Esta opción se puede usar varias veces en la línea de comandos. Si se proporciona el filterstring opcional, las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` smb, srt, ip.addr == 1.2.3.4'' sólo a recopilar estadísticas sobre los paquetes SMB echanged por el host en la dirección IP 1.2.3.4. -Z fc, srt, [Filtro] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para FC. Los datos recogidos es el número de convocatorias de cada comando de canal de fibra, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z fc, srt. El tiempo de respuesta de servicio se calcula como la delta de tiempo entre el primer paquete de la bolsa y el último paquete del intercambio. Los datos se presentarán en forma de tablas separadas para todos los comandos normales de FC, sólo los comandos que se ven en la captura tendrá sus estadísticas muestran. Esta opción se puede usar varias veces en la línea de comandos. Si se proporciona el filterstring opcional, las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` fc, srt, fc.id == 01.02.03'' sólo a recopilar estadísticas para FC paquetes echanged por el anfitrión FC dirección de 01.02.03. -Z ldap, srt, [Filtro] Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para LDAP. Los datos recogidos es el número de llamadas para cada comando LDAP implementado, MinSRT, MaxSRT y AvgSRT. Ejemplo: use-z ldap, srt. El tiempo de respuesta de servicio se calcula como la delta de tiempo entre la solicitud y la respuesta. Los datos se presentarán en forma de tablas separadas para todos los comandos LDAP implementado, sólo los comandos que se ven en la captura tendrá sus estadísticas muestran. Esta opción se puede usar varias veces en la línea de comandos. Si se proporciona el filterstring opcional, las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` ldap, srt, ip.addr == 10.1.1.1'' sólo a recopilar estadísticas sobre los paquetes LDAP echanged por el host con la dirección IP 10.1.1.1. 175

Traducido por Sykrayo España

El comando sólo LDAP que se aplican actualmente y las estadísticas estarán disponibles para son: BIND búsqueda Modificar AÑADIR BORRAR modrdn Comparar Extended

176

Traducido por Sykrayo España

-Z MGCP, srt, [Filtro] Recoger peticiones / data SRT (Servicio Tiempo de respuesta) para MGCP respuesta. Esto es similar a la Z smb, srt). Los datos recogidos es el número de llamadas para cada tipo conocido MGCP, SRT mínimo, máximo y promedio SRT SRT. Ejemplo: use-z mgcp, srt. Esta opción se puede usar varias veces en la línea de comandos. Si se proporciona el filterstring opcional, las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` mgcp, srt, ip.addr == 1.2.3.4'' sólo a recopilar estadísticas para MGCP paquetes intercambiados por el host en la dirección IP 1.2.3.4. -Z conv, tipo, [Filtro] Crear una tabla con todas las conversaciones que se podían ver en la captura. type especifica para qué tipo de conversación que queremos generar las estadísticas, en la actualidad los soportados son los
"ETH" Ethernet Direcciones de canal de fibra "FC" Direcciones FDDI FDDI "" Direcciones IP "IP" Direcciones IPX "ipx" "Tcp" TCP / IP socket pairsBoth IPv4 e IPv6 son compatibles TokenRing "tr" "Udp" UDP / IP socket pairsBoth IPv4 e IPv6 son compatibles

Si se especifica la cadena de filtro opcional, sólo los paquetes que coincidan con el filtro se utilizará en los cálculos. El cuadro se presenta con una línea para cada conversación y el número de pantallas de paquetes / bytes en cada dirección, así como el número total de paquetes / bytes. De manera predeterminada, la tabla de clasificación por número total de paquetes. Estas tablas también se pueden generar en tiempo de ejecución mediante la selección del tipo de conversación correspondiente en el menú `` Herramientas / Estadística / Conversación List /''. -Z H225, contador, [Filtro] Cuente UIT-T H.225 mensajes y sus razones. En la primera columna se obtiene una lista de mensajes H.225 y H.225 razones de mensaje, que se producen en el archivo de captura actual. Se muestra el número de ocurrencias de cada mensaje o la razón de la segunda columna. Ejemplo: use-z H225, contador. Esta opción se puede usar varias veces en la línea de comandos. Si se proporciona el filterstring opcional, las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` H225, contador, ip.addr == 1.2.3.4'' sólo a recopilar estadísticas para H.225 paquetes intercambiados por el host en la dirección IP 1.2.3.4. -Z H225, srt, [Filtro] 177

Traducido por Sykrayo España

Recoger peticiones / data SRT (Servicio Tiempo de respuesta) de la UIT-T H.225 RAS respuesta. Los datos recogidos es el número de llamadas de cada UIT-T H.225 RAS Tipo de mensaje, SRT Mínimo, Máximo SRT, SRT media, mínima en paquetes, y máxima en paquetes. También recibirá el número de solicitudes pendientes (Unresponded solicitudes), Respuestas desechados (Respuestas sin juego petición) y Duplicate Messages. Ejemplo: use-z H225, srt. Esta opción se puede usar varias veces en la línea de comandos. Si se proporciona el filterstring opcional, las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` H225, srt, ip.addr == 1.2.3.4'' sólo a recopilar las estadísticas de la UIT-T H.225 RAS paquetes intercambiados por el host en la dirección IP 1.2.3.4. -Z sip, stat, [Filtro] Esta opción se activa un contador de mensajes SIP. Usted recibirá el número de ocurrencias de cada método SIP y SIP de cada Estado-Code. Además, usted también consigue el número de resentir mensajes SIP (sólo para SIP sobre UDP). Ejemplo: use-z sip, stat. Esta opción se puede usar varias veces en la línea de comandos. Si no se proporciona la cadena de filtro opcional, las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Ejemplo: use-z `` sip, stat, ip.addr == 1.2.3.4'' sólo a recopilar estadísticas de paquetes SIP intercambiados por el host en la dirección IP 1.2.3.4.

INTERFAZ

OPCIONES DE MENÚ

Archivo: Abrir Archivo: Abrir reciente 178

Traducido por Sykrayo España

Archivo: Cerrar Abrir o cerrar un archivo de captura. El Archivo: cuadro de diálogo abierto permite un filtro a especificar, cuando se lee el archivo de captura, el filtro se aplica a todos los paquetes de lectura de los autos, y los paquetes que no coincida con el filtro se descartan. El Archivo: Abrir reciente es un submenú y se mostrará una lista de los archivos abiertos previamente. Archivo: Merge Combinar otro archivo de captura a la que actualmente cargado. El Archivo: cuadro de diálogo Fusionar permite fusionar `` Prepended'', `` Cronológicamente'' o `` adjuntarán'', en relación a la ya cargada. Archivo: Guardar Archivo: Guardar como Guardar la captura actual, o los paquetes que aparecen actualmente de esa captura, en un archivo. Las casillas de verificación le permiten seleccionar si se deben guardar todos los paquetes, o simplemente aquellos que han superado la pantalla actual filtro y / o los que están marcados en la actualidad, y un menú de opciones permite seleccionar (de una lista de formatos de archivo en los que al particular, la captura, o los paquetes que aparecen actualmente de esa captura, se pueden guardar), un formato de archivo en el que desea guardarlo. Lista de archivos: Archivo: Conjunto de archivos Muestra un cuadro de diálogo que lista todos los archivos del conjunto de archivos que coincide con el archivo actualmente cargado. Un conjunto de archivos es un compuesto de los archivos resultantes de una captura utilizando los múltiples archivos'' `` /'' modo ringbuffer ``, reconocibles por el patrón de nombre de archivo, por ejemplo: Filename_00001_20050604101530.pcap. Archivo: Conjunto de archivos: Archivo siguiente Archivo: Conjunto de archivos: Archivo anterior Si el archivo cargado actualmente forma parte de un conjunto de archivos (ver arriba), abra el archivo siguiente / anterior durante el mismo. Archivo: Export Exportar datos capturados en un formato externo. Nota: los datos no se pueden volver a importar a Ethereal, así que asegúrese de mantener el archivo de captura. Archivo: Imprimir Impresión de paquetes de datos de la captura actual. Usted puede seleccionar el rango de paquetes que desee imprimir (que paquetes se imprimen), y el formato de salida de cada paquete (cómo se imprime cada paquete). El formato de salida será similar a los valores que se muestran, por lo que una línea de resumen, la vista de detalles de paquetes, y / o el volcado del paquete se pueden imprimir. Las opciones de impresión se pueden ajustar con el menú Edición: elemento de menú Preferencias, o en el cuadro de diálogo aparecido por este elemento de menú. Archivo: Salir Salga de la aplicación. Editar: Buscar Paquete Búsqueda hacia delante o hacia atrás, comenzando con el paquete seleccionado en ese momento (o el más recientemente paquete seleccionado, si se ha seleccionado ningún paquete). Los criterios de búsqueda pueden ser una expresión de visualización filtro, una cadena de dígitos hexadecimales, o una cadena de texto. Durante la búsqueda de una cadena de texto, puede buscar en los paquetes de datos, o puede buscar en el texto de la Columna de información en el panel de la lista de paquetes o en el panel de detalles de paquetes. 179

Traducido por Sykrayo España

Los dígitos hexadecimales pueden estar separados por dos puntos, puntos o guiones. Búsquedas de cadenas de texto pueden ser ASCII o Unicode (o ambos), y pueden distinguir entre mayúsculas y minúsculas. Editar: Buscar siguiente Editar: Buscar anterior

180

Traducido por Sykrayo España

Búsqueda hacia delante / hacia atrás para un paquete que coincida con el filtro de la búsqueda anterior, comenzando con el paquete seleccionado en ese momento (o el paquete más recientemente seleccionado, si no se selecciona un paquete). Edit: Tiempo de referencia: Set Time Reference (cambiar) Establezca (o desactivar, si establece actualmente) el paquete seleccionado como un paquete de referencia Time. Cuando un paquete está configurado como un paquete de referencia de tiempo, las marcas de tiempo en el panel de lista de paquetes serán reemplazados por la cadena `` *'' * REF. La indicación de la hora el tiempo relativo en paquetes posteriores A continuación se calculará en relación con la fecha y hora de este paquete de referencia de tiempo y no el primer paquete de la captura. Los paquetes que se hayan seleccionado como paquetes referencia de tiempo siempre se mostrarán en el panel de la lista de paquetes. Mostrar filtros no afectarán u ocultar estos paquetes. Si hay una columna se muestra para `` Bytes Culmulative'' Este contador se restablece en cada hora Paquete de referencia. Edit: Tiempo de referencia: Buscar siguiente Edit: Tiempo de referencia: Buscar anterior Búsqueda hacia delante / atrás durante un tiempo referenciado paquete. Edit: Mark Packet (cambiar) Marque (o desmarcar si está marcado actualmente) el paquete seleccionado. El campo ``'' frame.marked se establece para los paquetes que están marcados, de modo que, por ejemplo, unos filtros de visualización pueden utilizarse para visualizar solamente los paquetes marcados, y de modo que el Editar: Buscar Packet de diálogo se puede utilizar para buscar la siguiente o la anterior paquete marcado. Edit: Marque todos los paquetes Edit: Desmarcar todos los paquetes Marcar / desmarcar todos los paquetes que se muestran actualmente. Editar: Preferencias Configure las opciones de interfaz gráfica de usuario, captura, impresión y protocolo (véase Preferencias diálogo de más abajo). Vista: Barra de herramientas principal Vista: Filtro Toolbar Vista: Barra de estado Mostrar u ocultar los controles de la ventana principal. Ver: Paquete Lista: Detalles del paquete Vista: Bytes de paquetes Mostrar u ocultar los principales cristales de las ventanas. Vista: Hora Formato de pantalla Ajuste el formato de la fecha y hora de paquetes se muestra en la ventana de la lista de paquetes. Nombre Resolve: Ver: Resolución de nombres Trate de resolver un nombre para el elemento actualmente seleted. Ver: Resolución de nombres: Habilitar para ... Capa Habilitar o deshabilitar la traducción de direcciones a nombres en la pantalla. Ver: Colorear Lista de paquetes 181

Traducido por Sykrayo España

Activar o desactivar las reglas para colorear. Desactivación mejorará el rendimiento. Vista: Desplazamiento automático de captura en vivo Activar o desactivar el desplazamiento automático de la lista de paquetes, mientras que la captura automática en curso. Vista: Acercar Vista: Acercar Zoom en / fuera de los principales datos de la ventana (al cambiar el tamaño de fuente). Vista: tamaño normal Restablecer el factor de zoom del zoom in / zoom out volver al tamaño normal de letra.

182

Traducido por Sykrayo España

Ver: Cambiar el tamaño de todas las columnas Cambiar el tamaño de todas las columnas para adaptarse mejor a la pantalla del paquete actual. Ver: Ampliar Subtrees Expande el elemento seleccionado en ese momento y es subárboles en los detalles del paquete. Ver: Desplegar todo Ver: Collapse All Expandir / Contraer todas las ramas de los detalles del paquete. Vista: Reglas para colorear Cambie los colores frontal y de fondo de la información del paquete en la lista de paquetes, en base a filtros de visualización. La lista de filtros de visualización se aplica a cada paquete de forma secuencial. Después del primer filtro de presentación coincide con un paquete, se ignoran los filtros de visualización adicionales en la lista. Por lo tanto, si usted está filtrando en la existencia de protocolos, que debe enumerar los protocolos de alto nivel primero, y los protocolos de nivel inferior anterior. ¿Cómo funciona Colorization Los paquetes son de color de acuerdo a una lista de filtros de color. Cada filtro consiste en un nombre, una expresión de filtro y una coloración. Un paquete es de color de acuerdo con el primer filtro que coincida, expresiones de filtro de color utilizan exactamente la misma sintaxis que las expresiones de filtro de visualización. Cuando se inicia Ethereal, los filtros de color se cargan desde: 1. Color filtros archivo personal del usuario o, si eso no existe, 2. El archivo de filtros de color global. Si ninguno de ellos existe, entonces los paquetes no serán de color. Ver: Mostrar Packet En una nueva ventana Crear una nueva ventana con una vista de detalles de paquetes y una ventana de volcado hexadecimal del paquete seleccionado, esta ventana se seguirá mostrando detalles y datos de ese paquete, incluso si se selecciona otro paquete. Ver: Actualizar Actualizar un archivo de captura. Igual que el del archivo: Cierre y archivo: Abra el mismo archivo. Go: Volver Retrocede en el historial de paquetes previamente visitados. Ir: Delantero Avanzar en visitada anteriormente historia paquetes. Go: Ir a Packet Ir a un paquete numerado particular. Go: Ir a paquete correspondiente Si se selecciona un campo en el panel de detalles de paquetes que contiene una serie de paquetes, visite el número de paquete especificado por ese campo. (Esto sólo funciona si el disector que puso que la entrada en los detalles del paquete puso en los detalles como un campo filtrable en lugar de sólo como texto.) Esto se puede utilizar, por ejemplo, para ir a el paquete de solicitud correspondiente a una responder, o la respuesta correspondiente a una solicitud, si ese número de paquetes se ha puesto en los detalles del paquete. Go: First Packet Go: Última Packet Ir al primer / último paquete en la captura. Captura: Interfaces 183

Traducido por Sykrayo España

Muestra un cuadro de diálogo con todas las interfaces conocidas en la actualidad y que muestran la cantidad actual de tráfico de la red. Sesiones de captura se pueden iniciar desde aquí. Cuidado: mantener este cuadro los resultados abiertos en la alta carga de sistema! Captura: Opciones Inicie una captura de paquetes en directo (véase Opciones de captura diálogo de más abajo). Si no se especifica ningún nombre de archivo, se creará un archivo temporal para guardar la captura. La ubicación del archivo se puede elegir mediante el establecimiento de la variable de entorno TMPDIR antes de comenzar Ethereal. De lo contrario, la ubicación TMPDIR predeterminado depende del sistema, pero es probable que sea / var / tmp o / tmp. Captura: Inicio Inicie una captura de paquetes en vivo con las opciones ya seleted. Esto no va a abrir el cuadro de diálogo de opciones, y puede ser conveniente para repetidamente el capturar con las mismas opciones. Captura: Detener Detener la captura en vivo corriente. Captura: Reiniciar Mientras que una captura en vivo se está ejecutando, detenga y reinicie con las mismas opciones de nuevo. Esto puede ser conveniente quitar paquetes unrelevant, si hay paquetes valiosos fueron capturados hasta el momento. Captura: Filtros de captura Editar la lista guardada de filtros de captura, permitiendo filtros que se añaden, cambian o eliminan. Analizar: Mostrar Filtros Editar la lista guardada de filtros de visualización, permitiendo filtros que se añaden, cambian o eliminan. Analizar: Aplicar como filtro Crear un filtro de pantalla, o añadir a la tira de filtro de visualización en la parte inferior, un filtro de pantalla basado en los datos que actualmente se destacan en los detalles Packe, y aplicar el filtro. Si esos datos es un campo que se puede probar en una expresión de filtro de pantalla, el filtro de pantalla se prueba que el campo, de lo contrario, el filtro de visualización se basa en absoluto compensado dentro del paquete, por lo que podría no ser fiable si el paquete contiene protocolos con encabezados de longitud variable, como por ejemplo un paquete de red en anillo fuente de enrutado. La opción seleccionada se crea un filtro para mostrar que las pruebas para un partido de los datos, la opción No Seleccionado crea un filtro de presentación que las pruebas de una no coincidencia de los datos. El y seleccionado o seleccionados y no seleccionados, y Or Not opciones seleccionadas se suman a la final del filtro de presentación de la banda en la parte inferior de un operador AND u OR seguido de la nueva expresión de filtro de visualización. Analizar: Preparar un filtro Crear un filtro de pantalla, o añadir a la tira de filtro de visualización en la parte inferior, un filtro de pantalla basado en los datos que actualmente se destacan en los detalles del paquete, pero no se aplica el filtro. Analizar: Protocolos habilitados Permitir disección protocolo para ser activado o desactivado para un protocolo específico. Protocolos individuales se pueden activar o desactivar haciendo clic en ellas en la lista o seleccionándolos y presionando la barra espaciadora. La lista completa se puede activar, desactivar o invertida con los botones debajo de la lista. Cuando un protocolo está desactivado, la disección en un paquete en particular detiene cuando se llega a ese protocolo, y se mueve etéreos en el siguiente paquete. No se muestran todos los 184

Traducido por Sykrayo España

protocolos de capas superiores que de otra manera se han procesado. Por ejemplo, la desactivación de TCP evitará que la disección y la visualización de TCP, HTTP, SMTP, Telnet, y cualquier otro protocolo depende exclusivamente de TCP. La lista de protocolos se puede guardar, para que Ethereal se iniciará con los protocolos de esa lista de lesionados.

185

Traducido por Sykrayo España

Analizar: Decodificar Como Si usted tiene un paquete seleccionado, presentará un cuadro de diálogo que le permite cambiar dissectors que se utilizan para decodificar este paquete. El diálogo tiene un panel para cada uno de la capa de enlace, capa de red y de transporte protocolo de capa / números de puerto, y permitirá a cada uno de estos para ser cambiado de forma independiente. Por ejemplo, si el paquete seleccionado es un paquete TCP con el puerto 12345, el uso de este cuadro de diálogo puede indicar a etéreo para decodificar todos los paquetes hacia o desde que el puerto TCP como paquetes HTTP. Analizar: El usuario especificado Decodifica Crear una nueva ventana que muestra si una ID de protocolo de asignaciones disector de haber sido modificada por el usuario. Esta ventana también permite al usuario restablecer todos decodifica a sus valores predeterminados. Analizar: Seguir flujo TCP Si usted tiene un paquete TCP seleccionado, mostrar el contenido de la secuencia de datos para la conexión TCP al que pertenece ese paquete, como texto, en una ventana separada, y salir de la lista de paquetes en un estado filtrado, sólo con los paquetes que son parte de conexión TCP que se está visualizando. Puede volver a su viejo vista presionando ENTRAR en el cuadro de texto del filtro de visualización, invocando así su filtro de visualización de edad (o reiniciarlo de nuevo a ningún filtro de pantalla). La ventana en la que se muestra el flujo de datos le permite seleccionar:
• •

si se muestra toda la conversación, o uno o el otro lado de la misma; si los datos que se muestran es a ser tratados como texto ASCII o EBCDIC o datos hexadecimales como primas;

y le permite imprimir lo que se está visualizando en ese momento, con las mismas opciones de impresión que se utilizan para la Archivo: Imprimir Packet elemento del menú, o guardarlo como texto en un archivo. Estadísticas: Resumen Mostrar información de resumen acerca de la captura, incluyendo el tiempo transcurrido, los recuentos de paquetes, cuentas de bytes, y similares. Si un filtro de presentación es, en efecto, la información de resumen se mostrará sobre la captura y el sobre está mostrando los paquetes. Estadísticas: Jerarquía Protocolo Mostrar el número de paquetes, y el número de bytes en los paquetes, para cada protocolo en la traza. Se organiza los protocolos en la misma jerarquía en el que se encontraron en la traza. Además de contar con los paquetes en los que existe el protocolo, el recuento se hace también para los paquetes en los que el protocolo es el último protocolo de la pila. Estos recuentos última-protocolo que muestran cuántos paquetes (Y el número de bytes asociado con los paquetes) terminó en un protocolo particular. En la tabla, se enumeran en `` paquetes extremo'' y `` Bytes End''. Estadísticas: IO Gráficos Abra una ventana donde hasta 5 gráficos en diferentes colores se pueden mostrar para indicar el número de paquetes o el número de bytes por segundo para todos los paquetes que coincidan con el filtro especificado. Por defecto sólo se muestra un gráfico que muestra el número de paquetes por segundo. La parte superior de la ventana contiene los gráficos y escalas de los ejes X e Y. Si el gráfico es demasiado largo para caber dentro de la ventana hay una barra de desplazamiento horizontal por debajo del área de dibujo que pueden desplazarse los gráficos a la izquierda oa la derecha. El eje

186

Traducido por Sykrayo España

horizontal muestra el tiempo en la captura y el eje vertical muestra la cantidad medida en ese momento. A continuación el área de dibujo y la barra de desplazamiento son los controles. En la parte inferior izquierda habrá cinco conjuntos similares de control para controlar cada gráfico induvidual como `` Display: <button>'' qué botón se alternará ese gráfico individuales de encendido / apagado. Si está marcada <button>, se mostrará el gráfico. `` Color: <color>'', que es sólo un botón para mostrar que el color se utiliza para dibujar ese gráfico (color es

187

Traducido por Sykrayo España

sólo está disponible en Gtk2 versión) y, finalmente, `` Filtro: <filter-text>'' que se puede utilizar para especificar un filtro de pantalla para ese gráfico en particular. Si el filtro de texto está vacío, se utilizarán todos los paquetes para calcular la cantidad de ese gráfico. Si se especifica el filtro de texto solamente aquellos paquetes que coincida con ese filtro de visualización se considerará en el cálculo de la cantidad. A la derecha de los controles 5 gráfico hay cuatro menús para controlar los aspectos globales de la zona de dibujo y gráficos. El `` unidad: menú'' se utiliza para controlar qué medir, `` paquetes / garrapatas'', `` bytes / garrapatas'' o `` Avanzada ...'' paquetes / garrapata medirá el número de paquetes que coincidan con el filtro de pantalla (si se especifica) para el gráfico en cada intervalo de medición. bytes / garrapata medirá el número total de bytes en todos los paquetes que coincidan con el (si se especifica) de filtro para mostrar el gráfico en cada intervalo de medición. avanzado ... véase más adelante `` Tick intervalo:'' especifica qué intervalos de medición a utilizar. El valor predeterminado es 1 segundo y significa que los datos se contarán durante intervalos de 1 segundo. `` Píxeles por garrapatas:'' especifica el número de píxeles de ancho cada intervalo de medición será en el área de dibujo. El valor predeterminado es 5 píxeles por garrapata. `` Y-escala:'' controla el valor máximo para el eje y. El valor por defecto es `` auto'', que significa que Ethereal tratará de ajustar el maxvalue automáticamente. `` Avanzada ...'' Si la unidad: avanzado ... se selecciona la ventana mostrará dos controles más para cada uno de los cinco gráficos. Un control será un menú en el que el tipo de cálculo se puede seleccionar de SUM, COUNT, MAX, MIN, AVG y la carga, y uno de control, cuadro de texto, donde se puede especificar el nombre de un campo de filtro de visualización. Las siguientes restricciones se aplican a las combinaciones de tipo y ámbito: SUM: disponible para todos los tipos de números enteros y calculará la suma de todas las ocurrencias de este campo en el intervalo de medición. Tenga en cuenta que algún campo puede aparecer varias veces en el mismo paquete y luego todos los casos se resume. Ejemplo: 'tcp.len' que contar la cantidad de carga útil de datos transferidos a través de TCP en cada intervalo. COUNT: disponible para todos los tipos de campo. Este contará el número de veces determinado campo ocurre en cada intervalo. Tenga en cuenta que puede haber algunos campos varias veces en cada paquete y si ese es el caso, entonces cada instancia se contará de forma independiente y el recuento será mayor que el número de paquetes. MAX: disponible para todos los campos de tiempo entero y relativa. Esto calculará el valor entero / hora max visto visto en el campo durante el intervalo. Ejemplo: 'smb.time' que trazar el tiempo máximo de respuesta SMB. 188

Traducido por Sykrayo España

MIN: disponible para todos los campos de tiempo entero y relativa. Esto calculará el min visto entero valor / hora visto en el campo durante el intervalo. Ejemplo: 'smb.time' que trazar el tiempo mínimo de respuesta SMB. AVG: disponible para todos fields.This tiempo entero como relativos calculará el valor entero / hora visto media visto en el campo durante el intervalo. Ejemplo: 'smb.time' que trazar el tiempo medio de respuesta SMB. CARGA: disponible sólo para campos de hora relativos (tiempo de respuesta). Ejemplo de tecnologías avanzadas: muestra cómo el tiempo de respuesta de MAX / MIN / AVG cambios NFS a través del tiempo: Ajuste primero el gráfico a:
Filtro: nfs && rpc.time Calc: MAX rpc.time

Establecer segundo gráfico de
Filtro: nfs && rpc.time Calc: AVG rpc.time

Establecer tercera gráfica para
Filtro: nfs && rpc.time Calc: MIN rpc.time

Ejemplo de tecnologías avanzadas: muestra cómo el tamaño medio de los paquetes desde el host abcd cambios en el tiempo. Ajuste primero el gráfico a
Filtro: ip.addr == && a.b.c.d frame.pkt_len Calc: AVG frame.pkt_len

CARGA: La carga tipo io-stat es muy diferente de cualquier cosa que hayas visto antes! Mientras que los tiempos de respuesta de sí mismos como trazados por el MIN, MAX, AVG son indicaciones sobre la carga del servidor (que afecta al tiempo de respuesta del servidor), las medidas de medición de la carga de la carga del cliente. Lo que esta medida es la cantidad de carga de trabajo genera el cliente, es decir, la rapidez con que el problema del cliente nuevos comandos cuando los anteriores completado. es decir, el nivel de concurrencia, el cliente puede mantener. Cuanto mayor sea el número, más y más rápido es el cliente de la emisión de nuevos comandos. Cuando la carga se cae, puede ser debido a la carga de cliente que realiza el cliente más lento en la emisión de nuevas órdenes (puede haber otras razones también, tal vez el cliente simplemente no tiene ningún comando que quiere emitir en ese momento). La carga se mide en concurrencia / número de superposición de E / S y el valor de 1000 significa que hay una carga constante de i / o. En cada intervalo de garrapata se mide la cantidad de superposición. Ver el siguiente gráfico 189

Traducido por Sykrayo España

que contiene tres comandos: Debajo del gráfico se muestran los valores de carga para cada intervalo que se calcula.
| | | | | | | | | | | | | | | | | |

190

Traducido por Sykrayo España

| | O ===== * | | | | | | | | | | | | | | | | o ======== * | o ============ | | | | | | | * | | | | | -------------------------------------------------- > Tiempo 5001500500750100050000

Estadísticas: lista de conversaciones Esta opción se abrirá una nueva ventana que muestra una lista de todas las conversaciones entre los dos puntos finales. La lista tiene una fila para cada conversación única y muestra el número total de paquetes / bytes visto, así como el número de paquetes / bytes en cada dirección. Por defecto, la lista se ordena según el número de paquetes, pero haciendo clic en el encabezado de la columna; es posible volver a ordenar la lista en orden ascendente o descendente por cualquier columna. Al seleccionar primero una conversación haciendo clic en él y luego con el botón derecho del ratón (en aquellas plataformas que tienen un botón derecho del ratón) etérea mostrará un menú emergente que ofrece varias operaciones distintos de filtros para aplicar a la captura. Estas ventanas estadísticas también se puede invocar desde la línea de comandos utilizando el Ethereal-z conv argumento. Estadísticas: Servicio Tiempo de respuesta: DCE-RPC Abra una ventana para mostrar las estadísticas de servicios de tiempo de respuesta para una interfaz arbitraria DCE-RPC programa y procedimiento de visualización, Número de Llamadas, SRT mínimo, máximo y promedio SRT SRT para todos los procedimientos para que el programa / version. Estas ventanas abiertas se actualizará en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Este diálogo permitirá también una cadena de filtro opcional que se utilizará. Si se utiliza una cadena de filtro opcional sólo tales pares de solicitud / respuesta del DCE-RPC que coincidan con filtro que se utilizarán para calcular las estadísticas. Si no se especifica ninguna cadena de filtro se utilizarán todos los pares de solicitud / respuesta. Estadísticas: Servicio Tiempo de respuesta: canal de fibra Abra una ventana para mostrar las estadísticas de servicios de tiempo de respuesta para Fibre Channel y mostrar FC tipo, número de llamadas, SRT mínimo, máximo y promedio SRT SRT para todo tipo de FC. Estas ventanas abiertas se actualizará en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. El tiempo de respuesta de servicio se calcula como la delta de tiempo entre el primer paquete de la bolsa y el último paquete del intercambio. Este diálogo permitirá también una cadena de filtro opcional que se utilizará. Si una cadena de filtro opcional se utiliza únicamente los primeros / últimos pares de cambio FC que coincida con el filtro se usará para calcular las estadísticas. Si no se especifica ninguna cadena de filtro se utilizarán todos los pares de solicitud / respuesta. Estadísticas: Servicio Tiempo de respuesta: ONC-RPC Abra una ventana para mostrar las estadísticas de una interfaz arbitraria ONC RPC-programa y del Procedimiento pantalla, número de llamadas, SRT mínimo, máximo y promedio SRT SRT para todos los procedimientos para que el programa / version. Estas ventanas abiertas se actualizará en 191

Traducido por Sykrayo España

tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Este diálogo permitirá también una cadena de filtro opcional que se utilizará. Si una cadena de filtro opcional sólo se utiliza tales pares de solicitud / respuesta de ONC-RPC que coincidan con filtro que se utilizarán para calcular las estadísticas. Si no se especifica ninguna cadena de filtro se utilizarán todos los pares de solicitud / respuesta.

192

Traducido por Sykrayo España

Al seleccionar primero una conversación haciendo clic en él y luego con el botón derecho del ratón (en aquellas plataformas que tienen un botón derecho del ratón) etérea mostrará un menú emergente que ofrece varias operaciones distintos de filtros para aplicar a la captura. Estadísticas: Tiempo de respuesta: Servicio SMB Llamada por cobrar / respuesta de datos SRT (Servicio de Tiempo de respuesta) para SMB. Los datos recogidos es el número de convocatorias de cada comando SMB, MinSRT, MaxSRT y AvgSRT. Los datos se presentarán en forma de tablas separadas para todos los comandos SMB normales, todos los comandos Transaction2 y todos los comandos de transacción NT. Sólo los comandos que se ven en la captura tendrá sus estadísticas muestran. Sólo el primer comando en una cadena de mando xAndX se utiliza en el cálculo. Así que para las cadenas de SessionSetupAndX + TreeConnectAndX comunes, sólo la llamada SessionSetupAndX se utilizará en las estadísticas. Este es un defecto que podría ser corregido en el futuro. Puede aplicar una cadena de filtro opcional en un cuadro de diálogo, antes de iniciar el cálculo. Las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Al seleccionar primero una conversación haciendo clic en él y luego con el botón derecho del ratón (en aquellas plataformas que tienen un botón derecho del ratón) etérea mostrará un menú emergente que ofrece varias operaciones distintos de filtros para aplicar a la captura. Estadísticas: Tiempo de respuesta: Servicio MGCP Recoger peticiones / data SRT (Servicio Tiempo de respuesta) para MGCP respuesta. Los datos recogidos es el número de llamadas para cada tipo conocido MGCP, SRT Mínimo, Máximo SRT, SRT media, mínima en paquetes, y máxima en paquetes. Estas ventanas abiertas se actualizará en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Puede aplicar una cadena de filtro opcional en un cuadro de diálogo, antes de iniciar el cálculo. Las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Estadísticas: Servicio Tiempo de respuesta: UIT-T H.225 RAS Recoger peticiones / data SRT (Servicio Tiempo de respuesta) de la UIT-T H.225 RAS respuesta. Los datos recogidos es el número de llamadas para cada conocido UIT-T H.225 RAS Tipo de mensaje, SRT Mínimo, Máximo SRT, SRT media, mínima en paquetes, y máxima en paquetes. También recibirá el número de solicitudes pendientes (Unresponded solicitudes), Respuestas desechados (Respuestas sin juego petición) y Duplicate Messages. Estas ventanas abiertas se actualizará en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Puede aplicar una cadena de filtro opcional en un cuadro de diálogo, antes de iniciar el cálculo. Las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Estadísticas: UIT-T H.225 Cuente UIT-T H.225 mensajes y sus razones. En la primera columna se obtiene una lista de mensajes H.225 y H.225 razones de mensaje, que se producen en el archivo de captura actual. El número de ocurrencias de cada mensaje o la razón se muestra en la segunda columna. Esta ventana abierta se actualizará en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. 193

Traducido por Sykrayo España

Puede aplicar una cadena de filtro opcional en un cuadro de diálogo, antes de iniciar el contador. Las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro.

194

Traducido por Sykrayo España

Estadísticas: SIP Activar un contador de mensajes SIP. Usted recibirá el número de ocurrencias de cada método SIP y SIP de cada Estado-Code. Además, usted también consigue el número de resentir mensajes SIP (sólo para SIP sobre UDP). Esta ventana abierta se actualizará en tiempo semi-real para reflejar los cambios al hacer capturas vivas o al leer los nuevos archivos de captura en Ethereal. Puede aplicar una cadena de filtro opcional en un cuadro de diálogo, antes de iniciar el contador. Las estadísticas sólo se calcularán sobre las llamadas que coincidan con ese filtro. Estadísticas: Programas de ONC-RPC Este cuadro de diálogo se abrirá una ventana que muestra las estadísticas RTT agregados para todos los programas / versiones ONC-RPC que existen en el archivo de captura. Ayuda: Contenido Algunos textos de ayuda. Ayuda: Protocolos Lista de los protocolos soportados y los campos de protocolo de filtro de visualización. Ayuda: Páginas de Manual Mostrar localmente versiones HTML instalados de estas páginas de manual en un navegador web. Ayuda: Ethereal Online Varios enlaces a recursos en línea para ser abierta en un navegador web, como http://www.ethereal.com. Ayuda: Acerca de Ethereal Ver información variada sobre Ethereal (ver Acerca de diálogo de abajo), como la versión, las carpetas se utiliza, los plugins disponibles, ...

VENTANAS

Ventana Principal La ventana principal contiene las cosas habituales, como el menú, algunas barras de herramientas, el área principal y una barra de estado. El área principal se divide en tres paneles, se puede cambiar el tamaño de cada panel con un ``'' pulgar en el extremo derecho de cada línea divisora. La ventana principal es mucho más flexible que antes. El diseño de la ventana principal se puede personalizar la página de diseño en el cuadro de diálogo aparecido por Edit: Preferencias, el siguiente se describen el diseño con la configuración predeterminada. Barra de herramientas principal Algunas opciones de menú están disponibles para el acceso rápido aquí. No hay forma de personalizar los elementos de la barra de herramientas, sin embargo, la barra de herramientas se puede ocultar Vista: Barra de herramientas principal. Filtrar Toolbar Un filtro de pantalla se pueden introducir en la barra de herramientas de filtro. Un filtro para HTTP, HTTPS, y el tráfico DNS podría tener este aspecto:
tcp.port == 80 | | tcp.port == 443 | | tcp.port == 53

Selección del Filtro: botón le permite elegir de una lista de filtros con nombre que se pueden guardar 195

Traducido por Sykrayo España

opcionalmente. Al pulsar el Retorno o Intro o seleccionando el botón Aplicar, hará que el filtro que se aplicará a

196

Traducido por Sykrayo España

la lista actual de los paquetes. Al seleccionar el botón Restablecer elimina el filtro de pantalla para que se muestren todos los paquetes (de nuevo). No hay manera de personalizar los elementos en la barra de herramientas, sin embargo, la barra de herramientas se puede ocultar Ver: Barra de herramientas de filtro. Panel Lista de paquetes El panel superior contiene la lista de los paquetes de red que puede desplazarse y seleccionar. Por defecto, el número de paquete, paquete de marca de hora, origen y destino, protocolo, y la descripción se muestran para cada paquete, la página Columnas del cuadro de diálogo apareció por Edit: Preferencias le permite cambiar esto (aunque, por desgracia, que tiene actualmente para guardar las preferencias y salir y reiniciar Ethereal, para que los cambios surtan efecto). Si hace clic en el encabezado de una columna, en la pantalla se puede ordenar por esa columna, al hacer clic en el título volverá a invertir el orden de esa columna. Se hace un esfuerzo para mostrar la información lo más alto de la pila de protocolos como sea posible, por ejemplo, Las direcciones IP se muestran para los paquetes IP, pero la dirección de capa MAC se muestra para los tipos de paquetes desconocidos. El botón derecho del ratón se puede usar para que aparezca un menú de operaciones. El botón central del ratón se puede utilizar para marcar un paquete. Detalles del paquete Pane El panel central contiene una pantalla de los detalles del paquete seleccionado actualmente. La pantalla muestra cada campo y su valor en cada cabecera de protocolo en la pila. El botón derecho del ratón se puede usar para que aparezca un menú de operaciones. Packet Bytes Pane El panel más bajo contiene un volcado hexadecimal y ASCII de los paquetes de datos reales. Selección de un campo en los detalles del paquete se destacan los bytes correspondientes en esta sección. El botón derecho del ratón se puede usar para que aparezca un menú de operaciones. Barra de estado La barra de estado se divide en dos partes: a la izquierda se muestran algunas de las cosas que dependen del contexto, al igual que información sobre el archivo cargado, a la derecha se muestra el número de paquetes: P = Paquetes capturado / cargado, D = Se muestra en la lista de paquetes (después de filtrar), M = Marcado por el usuario. La barra de estado se puede ocultar Vista: Barra de estado. Preferencias El diálogo de preferencias le permite controlar varias preferencias personales para el comportamiento de Ethereal. 197

Traducido por Sykrayo España

Preferencias de la interfaz de usuario La página de la interfaz de usuario se utiliza para modificar pequeños aspectos de la interfaz gráfica de usuario a su propio gusto personal: Barras de desplazamiento Las barras de desplazamiento vertical en los tres paneles se pueden configurar para que sea a la izquierda oa la derecha. Bares de selección La barra de selección en la lista de paquetes y detalles del paquete puede tener un `` navegar'' o `` select'' comportamiento. Si la barra de selección tiene un comportamiento `` navegar'', las teclas de dirección se moverán un esbozo de la barra de selección, lo que le permite navegar por el resto de la lista o detalles sin cambiar la selección

198

Traducido por Sykrayo España

hasta que se pulse la barra espaciadora. Si la barra de selección tiene un comportamiento `` select'', las teclas de dirección se moverá la barra de selección y cambiar la selección para el nuevo elemento en la lista de paquetes o detalles del paquete. Tree Line Style Los árboles se pueden extraer sin líneas, líneas sólidas o líneas de puntos entre los elementos, o se pueden extraer con ``'' Partidas ficha. Árbol Expander Estilo El elemento de expansión que se puede hacer clic para mostrar u ocultar los elementos en virtud de un elemento del árbol se puede omitir (nótese que esto le impedirá cambiar si esos elementos se muestran o se ocultan!), O se puede dibujar como cuadrados, triángulos o círculos. Display Hex El método más destacado en la pantalla de volcado hexadecimal para el elemento de protocolo seleccionado puede ser configurado para utilizar ya sea vídeo inverso, o caracteres en negrita. Guardar posición de la ventana Si este elemento está seleccionado, la posición de la ventana principal de Ethereal se guardará cuando sale Ethereal, y se utiliza cuando se inicia Ethereal nuevo. Save Window Size Si se selecciona este elemento, el tamaño de la ventana principal de Ethereal se guardará cuando sale Ethereal, y se utiliza cuando se inicia Ethereal nuevo. Archivo Comportamiento de diálogo Abrir Esta opción permite al usuario seleccionar la forma etérea se encarga de la lista del archivo `` Abrir'' diálogo al abrir archivos de rastreo. `` Recordar el último directorio'' hace Ethereal para posicionar automáticamente el cuadro de diálogo en el directorio del archivo abierto más recientemente, incluso entre los lanzamientos de Ethereal. `` Siempre abierto en el directorio'' permite al usuario definir un directorio persistente que el diálogo siempre será por defecto. Directorio Permite al usuario especificar un directorio Abrir archivo persistente. Se añadirán automáticamente barras o barras diagonales inversas. Preferencias de diseño La página de diseño le permite especificar el diseño general de la ventana principal. Usted puede elegir entre seis diseños diferentes y llenar los tres paneles con el contenido que usted tiene gusto. Preferencias de columna La página Columnas le permite especificar el número, título y formato de cada columna de la lista de paquetes. La entrada de título de columna se utiliza para especificar el título de la columna que aparece en la parte superior de la lista de paquetes. El tipo de datos que muestra las columnas se pueden especificar usando el menú de opciones de formato de columna. La fila de botones a la izquierda realizar las siguientes acciones: Nuevo Agrega una nueva columna a la lista. Borrar Elimina el elemento de lista seleccionado actualmente. Arriba / Abajo Mueve el elemento de la lista seleccionado hacia arriba o hacia abajo una posición. Preferencias de fuentes La página de Fuente permite seleccionar el tipo de letra que se utilizará para la mayoría del texto. Preferencias de colores La página de colores se puede utilizar para cambiar el color del texto que aparece en la ventana de 199

Traducido por Sykrayo España

flujo de TCP y los paquetes marcados. Para cambiar un color, sólo tiene que seleccionar un atributo de la `` Set: Menú'' y utilizar el selector de color para obtener el color deseado. Los nuevos colores de texto se muestran en forma de texto de ejemplo. Captura Preferencias

200

Traducido por Sykrayo España

La página de Capture le permite especificar diversos parámetros para la captura de paquetes de datos en vivo, los cuales se utilizan por primera vez una captura se inicia. La interfaz: cuadro combinado le permite especificar la interfaz desde la que capturar paquetes de datos, o el nombre de un FIFO desde el que obtener los datos del paquete. El tipo de enlace de datos: menú de opciones permite, por algunas interfaces, seleccione el encabezado de enlace de datos que desea ver en los paquetes que se capturan. Por ejemplo, en algunos sistemas operativos y con algunas versiones de libpcap, puede elegir, en una interfaz 802.11, si los paquetes deben aparecer en forma de paquetes de Ethernet (con una cabecera Ethernet falso) o 802.11 paquetes. El límite de cada paquete de ... bytes casilla de verificación le permite ajustar la longitud instantánea usar al capturar datos en tiempo real, activa la casilla de verificación y, a continuación, establecer el número de bytes que se utiliza como la longitud instantánea. El Filtro: entrada de texto le permite definir una expresión de filtro de captura para ser utilizado en la captura. Si alguna de las variables de entorno SSH_CONNECTION, SSH_CLIENT, REMOTEHOST, DISPLAY o CLIENTNAME se establecen, Ethereal creará un filtro de captura por defecto, que excluye el tráfico de los hosts y los puertos definidos en esas variables. Los paquetes de captura en modo promiscuo casilla le permite especificar si poner la interfaz en modo promiscuo en la captura. La lista de actualizaciones de paquetes en casilla de verificación en tiempo real le permite especificar que la pantalla debe actualizarse en forma de paquetes se ven. El desplazamiento automático en la casilla de verificación captura en vivo le permite especificar si, en una lista de `` actualización de paquetes en tiempo real'' de captura, el panel de la lista de paquetes debe desplazarse de forma automática para mostrar los paquetes más recientemente capturados. Preferencias de impresión Los botones en la parte superior de la página de impresión le permiten elegir entre imprimir paquetes con el Archivo: Imprimir del menú Packet como texto o PostScript, y enviar la salida directamente a un comando o guardarlo en un archivo. El Comando: cuadro de texto, en los sistemas compatibles con UNIX, es el comando para enviar archivos (generalmente lpr) y la del archivo: caja de entrada le permite introducir el nombre del archivo que desea guardar a. Además, puede seleccionar el archivo: botón para examinar el sistema de archivos de un archivo de salvar particular. Preferencias del Protocolo También hay páginas para diversos protocolos que disecciona Etéreo, que controlan la forma en que maneja los protocolos Ethereal. Editar Captura Lista Edit Filter Display Filter Filtro de captura lista Mostrar Filtrar Leer 201

Traducido por Sykrayo España

Filter Filtro de búsqueda El cuadro de diálogo Lista de filtros Capture Edit le permite crear, modificar y eliminar filtros de captura y la edición Mostrar lista de filtros de diálogo le permite crear, modificar y eliminar filtros de visualización. El cuadro de diálogo Filtro de captura le permite realizar todas las operaciones de edición de la lista, y también le permite elegir o construir un filtro para ser utilizado en la captura de paquetes.

202

Traducido por Sykrayo España

El cuadro de diálogo Filtro de presentación le permite realizar todas las operaciones de edición de la lista, y también le permite elegir o construir un filtro que se utilizará para filtrar la captura actual se está viendo. El diálogo Filtro Lee le permite realizar todas las operaciones de edición de la lista, y también le permite elegir o construir un filtro para ser utilizado como un filtro de lectura de un archivo de captura se abre. El diálogo Filtro de búsqueda le permite realizar todas las operaciones de edición de la lista, y también le permite elegir o construir una expresión de filtro para ser utilizado en una operación de búsqueda. En todos los cuadros de diálogo, la entrada del nombre de filtro especifica un nombre descriptivo para un filtro, por ejemplo, Web y el tráfico DNS. La entrada de la cadena de filtro es el texto que describe la realidad de la acción de filtrado para tomar, como se describe botones del diálogo anteriormente.El realizan las siguientes acciones: Nuevo Si no hay texto en las dos casillas de entrada, crea un nuevo elemento de la lista correspondiente. Editar Modifica el elemento de la lista seleccionado para que coincida con lo que está en los cuadros de entrada. Borrar Elimina el elemento de lista seleccionado actualmente. Agregar expresión ... Para las expresiones de filtro de la pantalla, aparece un cuadro de diálogo que le permite construir una expresión de filtro para poner a prueba un campo en particular, sino que ofrece listas de los nombres de los campos, y en su caso, las listas de las cuales seleccionar las pruebas a realizar en el campo y los valores con para compararlo. En ese cuadro de diálogo, el botón OK hará que la expresión de filtro que construiste a suscribir entre la entrada de la cadena de filtro en la posición actual del cursor. Bueno En el cuadro de diálogo Filtro de captura, se cierra el cuadro de diálogo y hace que el filtro en la entrada de la cadena de filtro del filtro en el cuadro de diálogo Preferencias de captura. En el cuadro de diálogo Filtro de presentación, se cierra el cuadro de diálogo y hace que el filtro en la entrada de la cadena de filtro del filtro de pantalla actual, y la aplica a la corriente capturar. En el cuadro de diálogo Filtro Read, cierra el cuadro de diálogo y hace que el filtro en la entrada de la cadena de filtro del filtro en el cuadro de diálogo Abrir archivo de captura. En el cuadro de diálogo Filtro de búsqueda, se cierra el cuadro de diálogo y hace que el filtro en la entrada de la cadena de filtro del filtro en el cuadro de diálogo Buscar Paquete. Aplicar Hace que el filtro en la entrada de la cadena de filtro del filtro de pantalla actual, y la aplica a la toma de corriente. Guardar Si la lista de filtros que se están editando la lista de filtros de captura, guarda la lista de filtro actual en el fichero de filtros de captura de personal, y si la lista de filtros que se están editando la lista de filtros de visualización, guarda la lista de filtros de corriente a la pantalla personal archivo de filtros. Cerrar Cierra el diálogo sin hacer nada con el filtro en la entrada de la cadena de filtros. El color de los filtros de diálogo Este cuadro de diálogo muestra una lista de filtros de color y permite su modificación. 203

Traducido por Sykrayo España

La lista de filtros Filas individuales pueden seleccionarse haciendo clic en. Varias filas se pueden seleccionar mediante las teclas Ctrl y Shift en combinación con el botón del ratón. NUEVO Añade un nuevo filtro en la parte inferior de la lista y se abre el cuadro de diálogo Editar filtro de color. Usted tendrá para alterar la expresión de filtro por lo menos antes de que se acepte el filtro. El formato de las expresiones de filtro de color es idéntica a la de filtros de visualización. Se selecciona el nuevo filtro, lo que puede ser inmediatamente

204

Traducido por Sykrayo España

movido hacia arriba y hacia abajo, eliminado o editado. Para evitar confusiones, todos los filtros no se seleccionan antes de crear el nuevo filtro. EDIT Se abre el cuadro de diálogo Editar filtro de color para el filtro seleccionado. (Si este botón está desactivado es posible que tenga más de un filtro seleccionado, por lo que es ambiguo, que se va a editar.) BORRAR Elimina el filtro de color seleccionado (s). EXPORTACIÓN Le permite seleccionar un archivo en el que guardar la lista actual de los filtros de color. También puede optar por guardar sólo los filtros seleccionados. Se proporciona un botón para guardar los filtros en el archivo global filtros de color (debe tener permisos suficientes para escribir el archivo, por supuesto). IMPORTACIÓN Le permite elegir un archivo que contiene filtros de color que luego se agregan al final de la lista actual. Todos los filtros añadidos se seleccionan, por lo que se pueden mover a la posición correcta en la lista como un grupo. Para evitar cualquier confusión, todos los filtros no se seleccionan antes de que se importen los nuevos filtros. Se proporciona un botón para cargar los filtros de archivo global filtros de color. CLEAR Borra el archivo de filtros de color personal, vuelve a cargar el archivo global filtros de color, en su caso, y se cierra el cuadro de diálogo. ARRIBA Mueve el seleccionado filtro (s) la lista, por lo que es más probable que se van a utilizar a los paquetes de color. ABAJO Mueve el seleccionado filtro (s) abajo en la lista, por lo que es menos probable que se van a utilizar a los paquetes de color. Bueno Cierra el diálogo y utiliza los filtros de color en su forma actual. APLICAR Colores de los paquetes de acuerdo con la lista de filtros de color, pero no cerrar el diálogo. SAVE Guarda la lista actual de los filtros de color en el archivo de filtros de color personal. A menos que hagas esto, no se utilizará la próxima vez que se inicia Ethereal. CIERRE Cierra el diálogo sin cambiar la coloración de los paquetes. Tenga en cuenta que los cambios realizados en la lista actual de los filtros de color no se deshacen. Opciones de captura El cuadro de diálogo Opciones de captura le permite especificar diversos parámetros para la captura de paquetes de datos en vivo. La interfaz: campo le permite especificar la interfaz desde la que capturar paquetes de datos o un comando desde el que obtener los paquetes de datos a través de una tubería. La capa de texto de encabezado Enlace: campo le permite especificar las interfaces de enlace de capa de texto de cabecera. Este campo es generalmente desactivado, ya que la mayoría de interfaz tiene un solo tipo de encabezado. Los paquetes de captura en modo promiscuo casilla le permite especificar si la interfaz se debe 205

Traducido por Sykrayo España

poner en modo promiscuo en la captura. El límite de cada paquete de ... casilla de verificación bytes y el campo le permite especificar el número máximo de bytes por paquete para capturar y guardar, si la casilla de verificación no está marcada, el límite será de 65.535 bytes.

206

Traducido por Sykrayo España

El Filtro de captura: entrada le permite especificar el filtro de captura utilizando una cadena de filtro de estilo tcpdump como se describe anteriormente. El Archivo: entrada le permite especificar el archivo en el que capturan los paquetes se deben guardar, como en el Opciones de la impresora diálogo anterior. Si no se especifica, los paquetes capturados se pueden guardar en un archivo temporal; puede guardar los paquetes a un archivo con el archivo: Guardar como del menú. La casilla de verificación Usar varios archivos permite especificar que la captura debe realizarse en varios archivos ``'' Modo. Esta opción está desactivada, si se comprueba la lista de actualizaciones de paquetes en opción de tiempo real. El archivo siguiente todos los ... caja y campos megabyte (s) de verificación le permite especificar que un cambio a un fichero siguiente debe hacer si se alcanza el tamaño del archivo especificado. También puede seleccionar la unidad appriate, pero ten en cuenta que el tamaño del archivo tiene un máximo de 2 GB. La casilla está obligado a comprobar, como `` varios archivos'' modo requiere un tamaño de archivo que se especifique. El archivo siguiente todos los ... caja y campos minuto (s) de verificación le permite especificar que el cambio a un fichero siguiente debe hacerse después de que haya transcurrido el tiempo especificado, incluso si no se alcanza el tamaño de captura especificado. El buffer de anillo con ... campo de los archivos le permite especificar el número de archivos de una memoria cíclica. Esta característica capturará en el primer archivo de nuevo, después se utilizara la cantidad especificada de archivos. La captura de parada después de ... campo de los archivos le permite especificar el número de archivos de captura utilizados, hasta que se detiene la captura. La captura de parada después de ... caja de paquete (s) de verificación y de campo le permite especificar que Ethereal debería detener la captura después de haber capturado un número de paquetes, si la casilla no está marcada, Ethereal no se detendrá la captura de un número determinado de paquetes capturados. La captura de parada después de ... cuadro megabyte (s) de verificación de campo y le permite especificar que Ethereal debería detener la captura después de que el archivo en el que los paquetes capturados se guardan crece tan grande o mayor que un número determinado de megabytes. Si la casilla no está marcada, Ethereal no se detendrá la captura en algún archivo de captura (aunque el sistema operativo en el que está ejecutándose Ethereal o el espacio en disco disponible, aún puede limitar el tamaño máximo de un archivo de captura). Esta opción está desactivada, si `` varios archivos'' modo se utiliza, La captura de parada después de ... segunda casilla (s) y de campo le permite especificar que Ethereal debería detener la captura después de que ha estado capturando a un número de segundos, si la casilla no está marcada, Ethereal no se detendrá la captura después de haber transcurrido un tiempo fijo. La lista de actualizaciones de paquetes en casilla de verificación en tiempo real le permite especificar si la pantalla se actualizará en los paquetes son capturados y, si se especifica que, el desplazamiento automático en la casilla de verificación captura en vivo le permite especificar el

207

Traducido por Sykrayo España

panel de la lista de paquetes debe desplazarse de forma automática para mostrar los paquetes más recientemente capturados como nuevos paquetes llegan. La resolución de nombres Enable MAC, Activar la resolución de nombres de red y activar el nombre de transporte resolución casillas de verificación le permiten especificar si las direcciones MAC, direcciones de red y números de puerto de la capa de transporte deben ser traducidos a los nombres. Acerc a de El diálogo Acerca permite ver información variada sobre Ethereal.

208

Traducido por Sykrayo España

Acerca de: Ethereal La página de Ethereal le permite ver la información general sobre Ethereal, al igual que la versión instalada, la concesión de licencias de información y tal. Acerca de los autores: La página de los autores muestra el autor y todos los contribuyentes. Acerca de: Carpetas La página de carpetas le permite ver los nombres de los directorios donde se buscan Ethereal es varias configuraciones y otros archivos. About: plugins La página de plugins te permite ver los módulos de plugin disector disponibles en el sistema. La Lista de Plugins muestra el nombre y la versión de cada módulo plugin de disector encontrado en su sistema. Los plugins se busca en los siguientes directorios: el directorio lib / etérea / plugins / $ VERSION directorio bajo el directorio de instalación principal (por ejemplo, / usr / local / lib / etéreas / plugins / $ VERSION), / Usr / lib / etéreas / plugins / $ VERSION, / Usr / local / lib / etérea / plugins / $ VERSION, y $ HOME / .ethereal / plugins en sistemas compatibles con UNIX, y en los plugins \ directorio $ VERSION bajo el directorio de instalación principal (por ejemplo, C: \ Archivos de programa \ Ethereal \ plugins \ $ VERSION) y% APPDATA% \ Ethereal \ plugins \ $ VERSION (o, if% APPDATA% no está definido, % USERPROFILE% \ Application Data \ Ethereal \ plugins \ $ VERSION) en sistemas Windows; $ Versión es el número de versión de la interfaz de plugin, que suele ser el número de versión de Ethereal. Tenga en cuenta que un módulo plug-in disector puede soportar más de un protocolo, no existe necesariamente una relación uno a uno entre los módulos de plugin disector y protocolos. Protocolos soportados por un módulo plug-in disector se activan y desactivan con la Editando: cuadro de diálogo Protocolos, así como protocolos integrados en Ethereal son. ARCHIVOS Estos archivos contienen varios valores de configuración de Ethereal. Preferencias Los archivos de preferencias contiene configuraciones globales (el sistema) y la preferencia personal. Si existe el archivo de preferencias de todo el sistema, que se lee primero, reemplazando los valores por defecto. Si las preferencias personales presentan las salidas, que se lee a continuación, sustituyendo estos valores (de nuevo). Nota: Si el indicador-o se utiliza la línea de comandos, prevalecerá sobre estos valores ni una sola vez más. La configuración de preferencias se encuentran en forma prefname: valor, uno por línea, donde prefname es el nombre de la preferencia (que es el mismo nombre que aparece en el archivo de preferencias), y el valor es el valor al que debe ajustarse; se deja un espacio en blanco entre: y valor. Un valor de preferencia se puede continuar en las líneas siguientes al sangrado de las líneas de continuidad con el espacio en blanco. Un carácter # se inicia un comentario que se extiende hasta el final de la línea. El archivo de preferencias globales se busca en el directorio etérea bajo la acción subdirectorio del directorio principal de instalación (por ejemplo, / usr / local / share / etérea / preferences) en sistemas compatibles con UNIX y en el directorio de instalación principal (por ejemplo, C: \ Archivos de programa \ \ Ethereal preferencias) en los sistemas Windows. El archivo de preferencias personales, se busca en $ HOME / .ethereal / preferencias en sistemas 209

Traducido por Sykrayo España

compatibles con UNIX y% APPDATA% \ Ethereal \ preferencias (o, si es% APPDATA% no está definido, % USERPROFILE% \ Datos de programa \ \ Ethereal preferencias) en los sistemas Windows.

210

Traducido por Sykrayo España

Nota: Cada vez que las preferencias se guardan utilizando el botón Guardar de la edición: cuadro de diálogo Preferencias, el archivo de preferencias personales se sobrescribirá con la nueva configuración, la destrucción de los comentarios que figuraban en el expediente. Recient Los archivos recientes se almacenará la configuración personal (en su mayoría relacionados con e GUI) como el tamaño de la ventana actual Ethereal. El archivo se guarda al salir del programa y lo leyó al iniciar el programa automáticamente (por lo tanto, los comentarios en este archivo se destruyen automáticamente). Nota: Si el indicador-o se utiliza la línea de comandos, prevalecerá sobre estos valores. Las opciones de este archivo tiene el mismo formato que en los archivos de preferencias y el mismo directorio que el archivo de preferencias de personal se utiliza. Protocolos para minusválidos (Enabled) El archivo disabled_protos contiene una lista de los protocolos que se han deshabilitado, por lo que sus dissectors nunca son llamados. El archivo contiene los nombres de protocolos, uno por línea, donde el nombre del protocolo es el mismo nombre que se utiliza en un filtro de pantalla para el protocolo. Un carácter # se inicia un comentario que se extiende hasta el final de la línea. Se utiliza el mismo directorio que el archivo de preferencias personales. Nota: Cada vez que la lista Protocolos deshabilitados se guarda mediante el botón Guardar de la Analizar: Cuadro de diálogo Protocolos habilitados, el archivo de protocolos de discapacitados se sobrescribirá con la nueva configuración, la destrucción de los comentarios que figuraban en el expediente. Resolución de nombres (hosts) Si existe el archivo hosts personal, las entradas de ese archivo se utilizan para resolver las direcciones IPv4 e IPv6 antes de realizar cualquier otro intento para resolverlas. Ese archivo tiene la sintaxis del archivo hosts norma, cada línea contiene una dirección IP y el nombre, separados por espacios en blanco. Se utiliza el mismo directorio que el archivo de preferencias personales. Resolución de nombres (éteres) Los archivos éteres, se consulta para correlacionar direcciones de hardware de 6 bytes de nombres. En primer lugar el mundial éteres archivo se trataba y si esa dirección no se encuentra allí el personal se trató a continuación. Cada línea contiene una dirección de hardware y el nombre, separados por espacios en blanco. Los dígitos de la dirección de hardware están separados por cualquiera de los dos puntos (:), un guión (-.) O un punto (.) Las siguientes tres líneas son líneas válidas de un archivo de éteres:
FF: FF: FF: FF: FF: ffBroadcast c0-00-ff-ff-ff-ffTR_broadcast 00.00.00.00.00.00Zero_broadcast

El archivo de éteres mundial se busca en el directorio / etc en sistemas compatibles con UNIX y en el directorio principal de instalación (por ejemplo, C: \ Archivos de programa \ Ethereal) en los sistemas Windows. El archivo de éteres de personal se busca en el mismo directorio que el archivo de preferencias personales. 211

Traducido por Sykrayo España

Resolución de nombres (manuf) El archivo manuf se utiliza para que coincida con la parte de proveedor 3-byte de la dirección de hardware de 6 bytes con el nombre del fabricante, sino que también puede contener direcciones MAC conocidas y rangos de direcciones especificadas con una máscara de red. El formato del archivo es el mismo que el archivo éteres, excepto que las entradas de la forma:
00:00:0 CCISCO

212

Traducido por Sykrayo España

se puede proporcionar, con la OUI de 3 bytes y el nombre de un proveedor, y las entradas de la forma:
00-00-0C-07-AC/40All-HSRP-routers

se puede especificar, con una dirección MAC y una máscara que indica la cantidad de bits de la dirección debe coincidir. Trailing cero bytes puede ser omitida de los rangos de direcciones. Esa entrada, por ejemplo, coincidirá con direcciones desde las 00-00-0C-07-AC-00 a través de 00-000C-07-CA-FF. La máscara no necesita ser un múltiplo de 8. El archivo manuf se instala en el directorio etc en el directorio principal de instalación (por ejemplo, / Usr / local / etc / manuf) en sistemascompatibles con UNIX y en el directorio principal de instalación (por ejemplo, C: \Archivos de programa\Ethereal \manuf) en sistemas Windows. Resolución de nombres (ipxnets) Los archivos ipxnets se utilizan para correlacionar los números de red IPX 4 bytes de nombres. Primero los ipxnets globales archivo se trataba y si esa dirección no se encuentra allí el personal se trató a continuación. El formato es el mismo que el archivo éteres, excepto que cada dirección si cuatro bytes en lugar de seis. Además, la dirección se puede representar un solo número hexadecimal, como es más común en el mundo IPX, en lugar de cuatro octetos hexagonales. Por ejemplo, estas cuatro líneas son líneas válidas de un archivo ipxnets:
C0.A8.2C.00HR c0-a8-1c-00CEO 00:00: BE: EF 110fFileServer3

IT_Server1

El archivo ipxnets mundial se encuentra en el directorio / etc en sistemas compatibles con UNIX y en el directorio principal de instalación (por ejemplo, C: \ Archivos de programa \ Ethereal) en sistemas Windows. El archivo ipxnets personal se busca en el mismo directorio que el archivo de preferencias personales. Captura Filtros El archivo cfilters, contiene filtros de captura personales. El archivo cfilters personal utiliza el mismo directorio que el archivo de preferencias personales. Mostrar filtros El archivo dfilters, contiene filtros de visualización personales. El archivo dfilters personal utiliza el mismo directorio que el archivo de preferencias personales. Filtros de color (Reglas para colorear) Los archivos colorfilters contienen filtros de color en todo el sistema y personal. Los archivos globales colorfilters se instala en el directorio etérea bajo la acción subdirectorio del directorio de instalación principal (por ejemplo, / usr / local / share / etérea) en sistemas compatibles con UNIX y en el directorio de instalación principal (por ejemplo, C: \ Archivos de programa \ Ethereal) en los sistemas Windows, 213

Traducido por Sykrayo España

El archivo colorfilters personal utiliza el mismo directorio que el archivo de preferencias personales.

214

Traducido por Sykrayo España

A continuación se toma de http://wiki.ethereunl.com / CaptureFilters Una visión general de la sintaxis del filtro de captura se puede encontrar en la Guía del usuario del Etherreal. Ethereal utiliza la misma sintaxis de filtros de captura como tcpdump, WinDump, Analyzer, y cualquier otro programa que usa la biblioteca libpcap / WinPcap. Ejemplos Captura sólo el tráfico hacia o desde la dirección IP 172.18.5.4:
• anfitrión 172.18.5.4

Captura solamente DNS (puerto 53) Tráfico:
• el puerto 53

Capturar el tráfico no HTTP y no en el servidor SMTP (ambos son equivalentes):
• • www.example.com anfitrión y no (puerto 80 o el puerto 25) www.example.com anfitrión y no el puerto 80 y el puerto 25 no

Captura excepto todo el tráfico ARP y DNS:
• puerto no 53 y no arp

Captura único tipo Ethernet EAPOL:
• éter proto 0x888e

Captura solamente el tráfico IP - el filtro más corto, pero a veces muy útil para deshacerse de los protocolos de capa inferior como ARP y STP:
• ip

Captura solamente el tráfico unicast - útil para deshacerse del ruido en la red si sólo quieres ver el tráfico hacia y desde la máquina, no, por ejemplo, la difusión y multidifusión anuncios:
• no difundir, no multicast

215

Traducido por Sykrayo España

ClamAV: ClamAV Antivirus escáner. Desarrollado por Tomasz Kojm. Disponible desde http://clamav.net/ El antivirus Clam es un kit de herramientas antivirus para UNIX, diseñado para el correo electrónico de escaneo de gateways de correo. Se proporciona un demonio flexible y escalable multi-hilo, un escáner de línea de comandos y una herramienta avanzada para la base de datos de actualización automática a través de Internet. El paquete también incluye la biblioteca compartida de un escáner de virus.

Cuando se inicia el programa, se muestra una interfaz gráfica de usuario. El usuario tiene que elegir dónde quieren que el programa analice. Al hacer clic en "Agregar ..." botón permite al usuario seleccionar el directorio para escanear. Múltiple caminos pueden ser añadidos por repeatly seleccionando el botón "Agregar ...".

Aquí el usuario ha añadido el sistema de destino montado como / Mnt/hda1 a escanear. Antes de iniciar la exploración, sería una buena idea, si el sistema está conectado a Internet, para actualizar la firma anti-virus. Seleccione Base de datos / Actualizar desde Internet. 216

Traducido por Sykrayo España

Una vez que la base de datos se actualiza, puede seleccionar "Start" para iniciar la búsqueda. Dependiendo del número de archivos y la velocidad del sistema, esto puede tomar bastante tiempo. Una vez finalizado el programa, mostrará las estadísticas de lo que ha encontrado.

217

Traducido por Sykrayo España

F-Prot Desarrollado por BRINCAN Software International. Disponible desde http://www.f-prot.com/products / home_use / linux / Para los usuarios domésticos que utilizan el sistema operativo de código abierto Linux, ofrecemos F-Prot Antivirus para estaciones de trabajo Linux. FProt Antivirus para estaciones de trabajo Linux utiliza el conocido motor de análisis antivirus FProt para la exploración primaria, pero ha además que un sistema de heurística interna diseñado para buscar virus desconocidos (Frisk Software International, 2006). F-Prot Antivirus para Linux fue desarrollado especialmente para erradicar efectivamente los virus que amenazan a las estaciones de trabajo que ejecutan Linux. Ofrece una protección completa contra los virus de macro y otras formas de software malicioso - incluyendo troyanos. F-Prot Antivirus puede detectar un total de 232.593 gusanos, virus y otros programas maliciosos (Frisk Software International, 2006). Una versión de línea de comandos de este programa también está disponible. Cuando se inicia el programa, el usuario se presenta con un menú. El usuario puede optar por analizar un paritition completo o un archivo o directorio. Sin embargo, si la hélice sistema se está ejecutando en está conectado a Internet, se recomienda que el usuario realiza primera elección 4 - ¿Es líneaActualización.

Durante una actualización en línea, el programa F-Prot accederá al servidor F-Prot y ver si hay una versión más actual de las firmas anti-virus disponibles. Si lo hay, que se descargarán. Este paso se asegurará de que el programa será capaz de detectar el último escondite malware en el sistema. 218

Traducido por Sykrayo España

Después de que las firmas han sido actualizaciones, puede elegir ya sea un partitition, directorio o archivo. En este caso, vamos a revisar el directorio / bin del CD Helix.

F-Prot examinará todos los archivos del directorio seleccionado e identificar los archivos sospechosos.

219

Traducido por Sykrayo España

pyFlag Este documento cubre las operaciones básicas de la utilidad pyFlag. Este documento se puede encontrar en el menú, o en el directorio / usr / local / RTFM. Para obtener más información sobre pyFlag, vaya a http://pyflag.sourceforge.net

220

Traducido por Sykrayo España

RAID-Montaje Este documento, escrito por Michael Cohen, se ocupa de las cuestiones relacionadas con el análisis forense de las unidades RAID. Este documento se puede encontrar en el menú, o en el directorio / usr / local / RTFM. Este documento está disponible en línea a partir de http://pyflag.sourceforge.net/Documentation / articles / raid / reconstruccióntion.html
Abstracto Cuando los examinadores forenses y los equipos de respuesta a incidentes se acercan a un sistema informático, muy a menudo las unidades RAID están involucrados. Arrays RAID se encuentran ahora comúnmente en muchas computadoras - de las costosas máquinas de servidor de la empresa, hasta llegar a las máquinas de escritorio. Imaging estas máquinas es a menudo difícil, puesto que la reconstitución de las imágenes lógicas RAID en el laboratorio puede ser difícil sin el controlador idéntica utilizada para crear la matriz, y una configuración idéntica. A veces, el controlador no puede aceptar los discos como los miembros de la matriz si la cabecera de matriz se daña o se sobrescriban, por lo que es imposible reconstruir la imagen lógica utilizando medios convencionales. Este documento recoge la reconstrucción manual conjuntos RAID. Se presenta un método para recuperar manualmente el mapa reconstrucción RAID, y las herramientas se presentan al utilizar este mapa para volver a montar el conjunto RAID original o simplemente utilizar todo el conjunto como evidencia sin reensamblaje. Introducción Discos RAID se han hecho populares en los últimos años, incluso en los sistemas de gama baja. Cuando nos enfrentamos a un Sistema RAID, el investigador se enfrenta a menudo con una elección difícil. Una forma fiable para obtener imágenes de este sistema es intentar arrancar el sistema desde un CDROM en una plataforma forense como Knoppix o hélice, por ejemplo. Estas plataformas tienen controladores para muchos RAID controladores que permiten a menudo que la matriz sea visto como un único disco lógico. A continuación, el investigador sería la imagen del dispositivo a través de la red, USB o FireWire a otra máquina. El método anterior es muy fiable y sin duda se debe utilizar como el primer puerto de llamada. Sin embargo, a menudo este método falla: • A menudo los conductores presentes en el sistema operativo forense no soportan el controlador RAID. Si el controlador no tiene soporte nativo de Linux que esto podría ser un problema. El RAID se hace por software usando un producto patentado. No hay controladores de Linux que son capaces de leer como una matriz. Los encabezados de los discos son los daños o los discos están marcados como mala, lo que lleva la controladora de la matriz de negarse a utilizar estos discos, a pesar de que los discos sí mismos pueden ser legible. No es posible obtener el mando original y la configuración BIOS. Esto puede ocurrir si el controlador ha sido destruido o simplemente no está disponible.

• •

En estos casos, el RAID tendrá que ser reconstruido a mano. En este trabajo se detallará un método para permitir que este proceso se haga con fiabilidad.

221

Traducido por Sykrayo España

Partición-Info Este documento enumera los identificadores de partición para muchos tipos de particiones diferentes. Esto puede ser muy útil cuando se trata de montar unidades desconocidas. Este documento se puede encontrar en el menú, o en el / Usr / local / RTFM. Lo siguiente es de http://www.win.tue.nl/% 7Eaeb / punrtitions/partition_types-1.html Lista de identificadores de partición para PC A continuación una lista de los identificadores de partición conocidos (indicadores del sistema) de los distintos sistemas operativos, sistemas de archivos, gestores de arranque, etc Para los diferentes sistemas, se les da una breve descripción, en los casos en los que tengo algo de información. Parece que hay dos otros grandes tales listas: Ralf Brown (véase la lista de interrupción bajo Int 19) y Hale Landis, pero el actual es más correcta y completa. (Sin embargo, estas dos URL son una valiosa fuente de información adicional.) Véase también la tabla Powerquest y las especificaciones de las tablas de particiones de tipo DOS. Copyright (C) E. Andries Brouwer 1995-2004. Enlace a esta lista - no copiarlo. Se actualiza regularmente. Adiciones, correcciones, explicaciones son bienvenidos. (Correo de aeb@cwi.nl.) Nombre ID 00 Empty Para ser más precisos: no se utiliza para designar el área no utilizada en el disco, sino que marca una entrada de la tabla de partición no utilizada. (Todos los demás campos deben ser cero también.) Área de sobrado no es designado. Plan9 supone que se puede utilizar todo lo que no sea reclamado por otros sistemas en la tabla de particiones. 01 DOS 12-bit FAT DOS es una familia de sistemas operativos de usuario único para PC. 86-DOS (QDOS `'- sistema operativo rápido y sucio) era un sistema operativo CP / M-como escrito por Tim Paterson de Seattle Computer Products (1979). Microsoft compró, cambió el nombre a MS-DOS 1.0 y lo vendió a IBM (1980) que se entregarán junto con los primeros PCs de IBM (1981). MS-DOS 2.0 (1983) fue muy diferente, y está diseñado para ser algo similar a Unix. Apoyó un disco duro (hasta 16 MB, hasta 32 MB de la versión 2.1). Version 3.3 + añade el concepto de particiones, donde cada partición es como máximo de 32 MB. (Compaq DOS 3.31 relajado esta restricción.) Desde la versión 4.0 particiones pueden ser de 512 MB. Versión 5.0 es compatible con particiones de hasta 2 GB. Existen varios clones:. DR-DOS (de Digital Research, más tarde parte de Novell y llamó NovellDOS o NDOS, entonces propiedad de Caldera y llamó OpenDOS, a continuación, por su Lineo filial que lo nombró de nuevo a DR-DOS Ver http://www.drdos.com/), PC-DOS (de IBM), FreeDOS, ... Consulte Tipos de DOS. Ver comp.os.msdos. * Y particiones MSDOS resumen. El tipo 01 es para las particiones de hasta 15 MB. 222

Traducido por Sykrayo España

Este documento es más de 27 páginas largos, y cubre los tipos de partición de 00 a FF. El documento completo está disponible en línea o en el CD de Helix.

223

Traducido por Sykrayo España

Sleuthkit-Informer artículos A continuación se toma de http://www.sleuthkit.org / informador / The Sleuth Kit Informador es un boletín bimensual para el kit Sleuth, Autopsy, y herramientas relacionadas. El objetivo de este boletín es aumentar la conciencia, el conocimiento, y la documentación de estas herramientas. Los temas previstos van desde herramientas de detalles de diseño con las técnicas de romper una imagen de disco en imágenes de la partición. Para suscribirse al boletín de correo electrónico, vaya a http://lists.sourceforge.net/lists/listinfo/sleuthkit- delator. A partir de 2004, las nuevas emisiones se liberan en el día 15 de los meses impares (enero, marzo, mayo, etc.) Tabla de contenidos
Edición # 1-15 febrero 2003 Un diseño general de alto nivel de la autopsia y de tareas Colocar HTML en la cárcel Edición N º 2 hasta 15 marzo 2003 Autopsia 1.70 Manejo de Casos Splitting The Disco - Parte 1 Issue # 3-15 abril 2003 ¿Sabía usted? - Fecha autopsia Sellos Clasificando el clasificador (Parte 1 en una serie de 3) Issue # 4 a 15 mayo 2003 ¿Sabía usted? - Recuperación de archivos basada en grupos Creación de conjuntos de reglas de clasificación para Custom (Parte 2 de una serie de 3) Issue # 5-15 junio 2003 ¿Sabía usted? - La importación de líneas de tiempo en las hojas de cálculo Internos Clasificador (Parte 3 de una serie de 3) Edición # 6-15 julio, 2003 La caza de hash (Parte 1 de una serie de 2) Edición # 7 hasta 15 ag, 2003 ¿Sabía usted? - La reducción de los datos en los plazos Corrección NSRL Encontrar hashes con 'HBusque "(Parte 2 de una serie de 2) Edición # 8 a 15 septiembre 2003 ¿Sabía usted? - Nuevo registro de comandos Bloqueo de las palabras clave en Edición # 9-15 octubre, 2003 Ningún artículo importante (De vacaciones por el Honeynet Clasificación Desafío) Edición # 10 al 16 noviembre, 2003 UNIX Verificación incidente con el kit Sleuth Edición # 11 a 15 diciembre 2003

224

Traducido por Sykrayo España

Edición # 12-15 enero 2004 sdd: A Variant 'dd' Dividir el disco con MMLS Edición # 13-15 marzo 2004 Call For Papers UNIX Verificación de Incidentes con Autopsy Edición # 14-15 mayo 2004 Call For Papers TSK recuperación de archivos FAT Edición # 15 a 15 julio, 2004 Partition Recovery Con TestDisk (Christophe Grenier) Nombre del archivo buscando en Autopsia (Brian Carrier) Edición # 16-15 septiembre 2004 Searchtools, indexado Buscar en Imágenes Forenses (Paul Bakker) sstrings y búsqueda Unicode (Brian Carrier) Adquisiciones "DD"Edición # 21 a 15 noviembre 2005

Archivos Huérfanos NTFS (Brian Carrier) Edición # 17-15 noviembre, 2004 Detección de host Áreas Protegidas (HPA) en Linux (Brian Carrier) Encontrar Firmas binarias (Brian Carrier) Edición # 18 hasta 15 en 2005 Descripción de la salida fsstat FAT (Brian Carrier) Edición # 19 a 15 marz 2005 Nueva Imagen de archivo de soporte (Brian Carrier) Conexión de llamadas IO para soporte de imágenes multiformato (Michael Cohen) Edición # 20 a 15 may 2005 Eliminación de acogida Áreas Protegidas (HPA) en Linux (Brian Carrier) Detección automática de tipos (Brian Carrier) Nuevas Licencias Sleuth Kit (Brian Carrier) FAT y ils cambios (Brian Carrier)

225

Traducido por Sykrayo España

Herramientas de línea de comandos Aunque sería bueno para todas las herramientas para tener interfaces gráficas de usuario, la verdad es que hay muchas herramientas muy poderosas que sólo están disponibles a partir de una línea de comandos. De hecho, algunos investigadores creen que estas herramientas son más potentes que sus contrapartes GUI. Las siguientes herramientas están disponibles en el lado de Linux del CD Helix, y sólo funcionarán desde el shell.When comandos utilizando estas herramientas, lo mejor sería utilizar un shell de comandos conectado (disponible en la barra de tareas) para que todas sus acciones son conectado. Algunas de estas herramientas son muy poderosos, y pueden ser muy destructivos, así que mucho cuidado al usarlos. 2hashMD5 y SHA1 hash paralelas. BMA Detectar y recuperar datos en slackspace usado. P archivos tcpdump chaosreaderTrace y extraer los datos. Mira chkrootkit de rootkits. chntpw Cambie las contraseñas de Windows. reemplazo dcfldddd de la DCFL. e2recoverRecover archivos borrados en sistemas de archivos ext2. Fatbac Analizar y recuperar archivos FAT eliminados. k faust.plAnalyze elf binarios y secuencias de comandos bash. fenrisdebugging, seguimiento, descompilación. foremostCarve archivos basados en encabezado y pie de página. f-prot F-Prot anti antivirus. ftimes Un conjunto de herramientas para la adquisición de datos forenses. analizador de galleta de la galleta por Internet Explorer. indexación visión y el sistema de consulta. grepmailGrep través de buzones. logfinder.py EFF utilidad logfinder. logshLog la sesión de terminal (Tomado de FIRE). lshw Lister Hardware. mac_grab.ple-fensa utilidad momento MAC. mac-ladrón Ladrón de tumbas de TCT escrito en C. md5sum md5deepRecursive con búsquedas db. ser más astuto que Stego detección suite. herramienta para el análisis pascoForensic Internet Explorer. rifiuti "Papelera de reciclaje" del analizador. rkhunter Rootkit Hunter. scalpelfast archivo tallador sdd Especializada dd con un mejor rendimiento. sha1sum sha1deepRecursive con búsquedas db. sha1sum sha256deepRecursive con búsquedas db. suite de detección stegdetectStego.

226

Traducido por Sykrayo España

eliminación de archivos wipeSecure.

227

Traducido por Sykrayo España

2hash: MD5 y SHA1 hash paralelas. Desarrollado por Thomas Akin. Disponible desde http://crossrealm.com/2hash/ Desde el sitio web: 2hash realiza simultáneamente una md5 y sha1 una suma de comprobación en el archivo (s). Si quieres dos sumas de comprobación, además de la verificación de integridad, que ya ha tenido que correr md5sum y sha1sum serie causando la integridad comprueba para tomar el 100% ya que la ejecución de un solo cheque solo. 2hash corre tanto hashes en paralelo, sólo tener que leer el archivo una vez. Esto le permite obtener los dos valores hash con sólo un aumento de tiempo de 8% solo md5 terminado, y sólo un incremento del 2% sobre el tiempo solo sha1. Se corre alrededor de 90% más rápido que utilizando tanto md5 y sha1 una después de la otra ... Ouput muestra: # 2hash recovered.txt (Md5) 547e3d9033620b83d6fb93a9106af672 (sha1) f949d01a59b889aa1f448d2bb8a4c493ae56a84b # recovered.txt recovered.txt

El programa acepta caracteres comodín estándar (?, *), Y expresiones regulares.

228

Traducido por Sykrayo España

BMAP: Detectar y recuperar datos en slackspace usado. Desarrollado por Daniel Ridge. Disponible desde http :/ / www.packetstormsecurity.org/linux/ Security/bmap-1.0.17.tar.gz BMAP se puede utilizar para almacenar, recuperar y eliminar la información almacenada en el espacio de holgura de un archivo. Nota: Los usuarios deben tener mucho cuidado al usar esta herramienta, según el desarrollador, "ADVERTENCIA: Esto puede azotar su disco duro." Existe la preocupación de que esta herramienta va a operar en el sistema de archivos ext3. Según Henry Owen (2004), "BMAP no ha sido actualizado desde 2000 y nunca fue probado con ext3. Esta incursión en ext3 no es mencionado por el autor BMAP o en cualquier lugar en Internet y puede dañar el sistema de archivos. " El siguiente es el resultado del comando: BMAP - help BMAP: 1.0.20 (05/17/04) Newt @scyld.com Uso: BMAP [OPTION] ... [<target-filename>] usar protector lista de conocimientos para llevar a cabo operaciones especiales en los archivos - Doc VALOR Donde valor es uno de: Versión versiondisplay y salida las opciones de visualización de ayuda y termina mangenerate página de manual y salida sgml generar SGML info invocación - VALOR modo Donde valor es uno de: números de sector maplist carveextract una copia de los datos de visualización de dispositivos básicos de holgura en el espacio de holgura putslack datos de lugares en la holgura wipeslackwipe holgura checkslacktest de holgura (devuelve 0 si el archivo tiene holgura) slackbytesprint número de bytes de holgura disponible wipewipe el archivo desde el dispositivo sin formato información de fragmentación fragdisplay del archivo checkfragtest de fragmentación (devuelve 0 si se fragmenta archivo) - Archivosalida <filename> escribir la salida a ... - Opción falsa labeluseless - Opción falsa nameuseless - Verbosebe detallado - Log-umbral <Ninguno | |error fatal | info | Poder | curso | entryexit> tala umbral ... - <filename> Objetivo operar en ... 229

Traducido por Sykrayo España

Lo siguiente es de http://www.linuxsecurity.com/content/view/117638 / (Chuvakin, 2002). Una mirada más detallada a internos ext2 revela la existencia de espacio de holgura. Sistema de Ficheros utiliza partes direccionables de disco denominadas bloques que tienen el mismo tamaño. Sistemas de archivos Ext2 suelen utilizar 1,2

230

Traducido por Sykrayo España

o 4 KB bloques. Si un archivo es más pequeño que el tamaño de bloque, se desperdicia el espacio restante. Se llama espacio de holgura. Este problema a largo plagado primeros usuarios de Windows 9x con sistemas de archivos FAT16, que tuvieron que utilizar tamaños de bloques de hasta 32 K, desperdiciando así una gran cantidad de espacio si el almacenamiento de archivos pequeños. En una partición Linux 4 GB, el tamaño del bloque es típicamente 4K (elegido de forma automática cuando el mke2fs utilidad se ejecuta para crear un sistema de archivos). Así, se puede ocultar con fiabilidad hasta 4 KB de datos por archivo si utiliza un archivo pequeño. Los datos serán invulnerables al uso del disco, invisible desde el sistema de archivos, y, lo que es más emocionante para algunas personas, indetectable por comprobadores de integridad de archivos mediante algoritmos de suma de comprobación de archivos y los tiempos de MAC. Ext2 disquete (con un tamaño de bloque de 1 KB) permite que los datos se esconden también, aunque en fragmentos más pequeños. El BMAP herramienta oscura existe para los datos de mermelada en el espacio de holgura, sacarlo y también limpiar el espacio de holgura, si es necesario. Algunos de los ejemplos que siguen: El siguiente comando pone los datos en el espacio de holgura producida por el archivo / etc / passwd # Echo "datos mal está aquí" | BMAP - Modo putslack / etc / passwd Este comando le mostrará los datos almacenados en el espacio de holgura de un archivo # BMAP - Modo de holgura / etc / passwd llegar del bloque 887048 El tamaño del archivo es: 9428 tamaño de transmisión: 2860 tamaño de bloque: 4096 mal los datos están aquí Este comando borra los datos almacenados en el espacio de holgura de un archivo # BMAP - Modo wipeslack / etc / passwd Ocultación de datos en el espacio de holgura se pueden utilizar para guardar secretos, la evidencia de la planta (software forense encontrará, pero el sospechoso probablemente no lo hará) y tal vez ocultar herramientas de comprobadores de integridad (si se implementa la división automática del archivo grande en trozos del tamaño de holgura ).

231

Traducido por Sykrayo España

ChaosReader: archivos tcpdump trazas y extraer los datos. Desarrollado por Brendan Gregg. Disponible desde http://users.tpg.com.au/bdgcvb/chaosreader. HTML ChaosReader es una herramienta gratuita para rastrear TCP / UDP / ... sesiones y capturar datos de solicitud de snoop o tcpdump logs. Este es un tipo de "cualquier snarf-" del programa, ya que obtendrá sesiones telnet, archivos FTP, transferencias HTTP (HTML, GIF, JPEG, ...), correos electrónicos SMTP y las de los datos capturados dentro de los registros de tráfico de la red, . Se crea un archivo de índice HTML que vincula a todos los detalles de la sesión, incluidos los programas de reproducción en tiempo real de telnet, rlogin, IRC, X11 o sesiones VNC, e informes, como los informes de imágenes y HTTP GET / POST informes de contenido. Chaosreader también puede funcionar en modo independiente - en el que invoca tcpdump o snoop (si están disponibles) para crear los archivos de registro y luego los procesa (Gregg, 2004). La siguiente información fue tomada de http://users.tpg. Com.au / adsln4yb/Chaos/readme.txt
Uso rápido: tcpdump-s9000-w OUT1; chaosreader OUT1; netscape index.html o, snoop-o OUT1; chaosreader OUT1; netscape index.html o, etéreo (guardar como "OUT1"); chaosreader OUT1; netscape o, index.html chaosreader-s 5; netscape index.html

USO: chaosreader [-aehikqrvxAHIRTUXY] [-D dir] [B-port [, ...]] [-B puerto [, ...]] [-J direcciónIP [, ...]] [-J direcciónIP [, ...]] [-L puerto [, ...]] [-L puerto [, ...]] [-m bytes [k]] [-M bytes [k]] [-o "tiempo" | "tamaño" | " Tipo "|" ip "] [-P puerto [, ...]] [-p puerto [, ...]] infile [infile2 ...] chaosreader-s [minutos] |-S [min, [count]] [-z] [-f 'filtro'] chaosreader # Crear archivos de sesión de aplicación, los índices -A, - aplicación # Crear los archivos de sesión de la aplicación (por defecto) -E, - todo # Crear HTML de 2 vías y archivos hexadecimales para todo -H # Imprime una breve ayuda - Ayuda # Imprimir detallado de ayuda (este) y la versión - Help2 # Imprima ayuda masiva -I, - info # crea el archivo info -Q, - quiet # Tranquilo, no hay salida a la pantalla -R, - primas # Crear archivos RAW -V, - verbose # detallado - Crear TODOS los archivos .. (Excepto-e) -X, - índice # Crear archivos de índice (por defecto) -A, - noapplication # Excluir archivos de sesión de la aplicación -H, - hex # include volcados hexadecimales (lento) -I, - noinfo # excluir archivos info -R, - noraw # Excluir archivos RAW

232

Traducido por Sykrayo España

-T, -U, -Y, -X, -K,

-

notcp # excluir el tráfico TCP noudp # excluir el tráfico UDP noicmp # excluir el tráfico ICMP noindex # Excluir archivos de índice Keydata # Crear archivos adicionales para el análisis de golpe de teclado

233

Traducido por Sykrayo España

-D dir - dir dir # Salida todos los archivos a este directorio -B 25,79 - 25,79 playtcp # reproducir estos puertos TCP también (reproducción) -B 36,42 - 36,42 playudp # reproducir estos puertos UDP también (reproducción) -L 7,79 - 7,79 htmltcp # Crear HTML para estos puertos TCP y L-7123 - htmludp 7123 # Crear HTML para estos puertos UDP, así -M 1k - min 1k # tamaño mínimo de conexión para ahorrar ("k" para indicar Kb) 1024k-M - max 1k # Tamaño máximo de la conexión para ahorrar ("k" para indicar Kb) -O tamaño - Tamaño de tipo Número de pedido para ordenar: tiempo / tamaño / tipo / ip (tiempo predeterminado) -P 21,23 - 21,23 port # Sólo examinar estos puertos (TCP y UDP) -P 80,81 - 80,81 noport # Excluir estos puertos (TCP y UDP) -S 5 - runonce 5 # Standalone. Ejecutar tcpdump / snoop durante 5 minutos. -S 5,10 - 5,10 runmany # independientes, muchos. 10 muestras de 5 minutos cada uno. S-5 - runmany 5 # independiente, sin fin. 5 min muestras siempre. -Z - runredo # Standalone, rehacer. Vuelve a leer los registros de la última ejecución. -J 10.1.2.1 - 10.1.2.1 ipaddr # Sólo examinar estas IPs -J 10.1.2.1 - 10.1.2.1 # noipaddr Excluir estas IPs 'Puerto 7'- filter'-f puerto 7 '# Con autónomo, utilice este filtro vertedero. eg1, tcpdump -S9000-w salida 1 # crea el archivo de captura de tcpdump chaosreader salida 1 # extraer sesiones reconocidos, o, chaosreader-ve salida 1 # dame todo, o, chaosreader-p 20,21,23 salida 1 # sólo ftp y telnet ... EG2, snoop-o salida 1 # crea snoop captura de archivos en lugar chaosreader salida 1 # extraer sesiones de reconocidos ... EG3, chaosreader-S 2,5 # Standalone, resoplido de red 5 veces durante 2 minutos # Cada uno. Ver index.html para el progreso (o. Texto) Archivos de salida: Muchos se creará, ejecutar esto en un directorio limpio. Ejemplo corto, Índice index.htmlHtml (detalles) Índice index.textText Índice index.fileFile para el modo de hacer de nuevo autónomo image.htmlHTML informe informe de imágenes de HTTP GET / POST peticiones getpost.htmlHTML archivo session_0001.infoInfo describir TCP Sesión # 1 session_0001.telnet.htmlHTML color captura de 2 vías (tiempo de ordenar) session_0001.telnet.rawRaw datos 2 vías de captura (tiempo ordenado) session_0001.telnet.raw1 Raw captura de 1 vía (assembeled) servidor-> cliente session_0001.telnet.raw2 Raw 1 vía captura (assembeled) cliente-> servidor session_0002.web.html HTML de color de 2 vías porción HTTP session_0002.part_01.html de lo anterior, un archivo HTML session_0003.web.htmlHTML de color de 2 vías session_0003.part_01.jpeg porción de HTTP de lo anterior, un archivo JPEG session_0004.web.htmlHTML de color de 2 vías porción session_0004.part_01.gifHTTP de lo anterior, un archivo GIF session_0005.part_01.ftp-data.gzAn FTP de gz. transferencia, un ... La convención es, session_ * Sesiones TCP stream_ * Streams UDP icmp_ * ICMP paquetes index.htmlHTML Índice Índice index.textText Índice index.fileFile para el modo de hacer de nuevo autónomo único informe image.htmlHTML de imágenes

234

Traducido por Sykrayo España

informe getpost.htmlHTML de HTTP GET / POST peticiones *. InfoInfo archivo que describe la reunión / Corriente *. RawRaw datos de captura de 2 vías (tiempo de ordenar)

235

Traducido por Sykrayo España

*. Raw1Raw 1 vía captura (assembeled) servidor-> cliente *. Raw2Raw 1 vía captura de cliente-> servidor (assembeled) *. ReplaySession programa de reproducción (perl) *. Parcial. * Captura parcial (tcpdump / snoop eran conscientes de gotas) *. Hex.html2 vías volcado hexadecimal, dictada en color HTML *. Hex.text2 vías volcado Hex en texto plano *. X11.replayX11 script de repetición (conversaciones X11) *. TextX11.replayX11 comunicada script de repetición de texto (sólo texto) * Informe de texto. TextX11.html2 vías, dictada en rojo / azul HTML *. Archivo de datos de retardo keydataKeystroke. Se utiliza para el análisis de SSH. Modos: * Normal - por ejemplo, "chaosreader infile", aquí es donde un tcpdump / snoop archivo se creó con anterioridad y chaosreader lee y procesa. * Independiente, una vez - por ejemplo, "chaosreader-s 10", aquí es donde chaosreader ejecuta tcpdump / snoop y genera el archivo de caso de los 10 i registro, en este minutos, y a continuación, procesa el resultado. Algunos sistemas operativos no pueden tener tcpdump o snoop disponibles así que esto no va a funcionar (y no puede ser capa conseguir Ethereal, ejecutarlo, guardar en un archivo, a continuación, z utilizar el modo normal). Hay un index.html maestro y el index.html informe en una sub dir, que es el formato de out_YYYYMMDD-hhmm, por ejemplo, "out_200310032221". * Independiente, muchos - por ejemplo, "chaosreader-S 5,12", aquí es donde chaosreader ejecuta tcpdump / snoop y genera muchos archivos de registro, en este caso, muestras de 12 veces durante 5 minutos cada uno. Si bien esto está funcionando, el index.html maestro puede ser vista para mirar el progreso, que enlaza con los informes index.html menores en cada subdirectorio. * Independiente, haga de nuevo - por ejemplo, "chaosreader-ve-z", (la-z), aquí es donde una captura independiente se realizó anteriormente - y ahora le gustaría volver a procesar los registros - tal vez con otras opciones (en este caso, "-Ve"). Dice index.file para determinar qué registros de captura de leer. * Independiente, sin fin - por ejemplo, "chaosreader S-5", al igual que muchos autónomo pero se corre para siempre (si alguna vez tuvo la necesidad?). Cuidado con el espacio en disco! Nota: esta es una trab en curso, algunos de el código es un poco sin pulir. ajar

Consejo: * Ejecutar chaosreader en un directorio vacío. * Crear pequeño verted Chaosreader utiliza alrededor de 5 tamaño paquete eros. veces el vertedero en la memoria. Un archivo de 100Mb podría necesitar 500 MB de RAM para procesar. * Su tcpdump puede permitir "-s0" (paquete completo) en lugar de "-s9000". * Tenga cuidado con el uso de demasiado espacio en disco, el modo especial independiente. * Si se captura demasiadas pequeñas conexiones que dan una gran index.html, pruebe a utilizar la ignorar las pequeñas conexiones. por ejemplo, "m-1k". opción-m para * Snoop registros pueden realmente funcionar mejor. Snoop registros se basan en RFC1761,

236

Traducido por Sykrayo España

sin embargo, hay varients de tcpdump / libpcap y este programa muchos No puede leerlos todos. Si tienes Ethereal puede crear snoop registros durante el "guardar como" opción. En Solaris utilice "snoop-o archivo de registro". * Tcpdump logs pueden no ser portables entre sistemas operativos tamaño que utilizan diferentes marcas de tiempo o endian. * mejor se creó en una memoria sistema de archivos para la velocidad, Regist normalmente / tmp. ros * Para X11 ni la reproducción de VNC, primero la práctica mediante la reproducción de un reciente capturado sesión de su cuenta. El mayor problema es la profundidad de color, la pantalla debe la captura. Para X11 comprobación de autenticación (xhost +), para el coincidir Cheque los usuarios diversas opciones (-8bit ", Hextile", ...) VNC * El análisis se puede realizar con el programa "sshkeydata" demostró SSH como en http://www.brendangregg.com/sshanalysis.html . chaosreader proporciona los archivos de entrada (*. keydata) que sshkeydata análisis.

237

Traducido por Sykrayo España

chkrootkit: buscar rootkits. Desarrollado por Nelson Murilo y Klaus Steding-Jessen. Está disponible a partir de http://www.chkrootkit.org chkrootkit es una herramienta para comprobar localmente para detectar signos de un rootkit. Se comprobará los principales servicios públicos de la infección, y en la actualidad es capaz de detectar 60 rootkits y sus variaciones. La siguiente información fue tomada de http://www.chkrootkit.org/README Uso chkrootkit debe ejecutarse como root. La forma más sencilla es: #. / Chkrootkit Esto llevará a cabo todas las pruebas. También puede especificar sólo las pruebas que desee, como se muestra a continuación: Uso:. / Chkrootkit [opciones] [nombre_prueba ...] Opciones: -Hshow esta ayuda y finaliza Información de versión-VShow y salida -Lshow pruebas disponibles -DDEBUG Modo de qquiet Modo de xexpert -R dir utilizar como directorio raíz dir -P dir1: dir2: Dirnruta de los comandos externos utilizados por chkrootkit -Nskip directorios NFS montado Cuando nombre_prueba significa uno o más de la siguiente lista: extranjeros áspid bindshel l lkm rexedcs sniffer w55808 wted especulado r percutor z2 chkutmp amd basenam e tortazo chfn chsh cron fecha du dirname eco egrep env encontrar fingerd gpm grep hdparm do ifconfig inetd inetdconf identd init killall ldsopreloa d inicio de sesión ls lsof correo mingetty netstat llamado passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail shd syslogd alquitrán tcpd tcpdump superior telnetd temporiza da traceroute vdir w escribir

238

Traducido por Sykrayo España

Por ejemplo, el siguiente comando comprueba troyano ps y ls binarios y también comprueba si la interfaz de red en modo promiscuo.

239

Traducido por Sykrayo España

#. / Chkrootkit ps ls sniffer La opción `-q 'opción se puede utilizar para poner chkrootkit en modo silencioso - en este modo sólo los mensajes de salida con` infectado' se muestran de estado. Con la opción `-x ', el usuario puede analizar cadenas sospechosas en los programas binarios que pueden indicar un troyano - todos los análisis se deja al usuario. Muchos de los datos se pueden ver con: #. / Chkrootkit-x | más Nombres de vías dentro de los comandos del sistema: # / Chkrootkit-x |. Egrep '^ /' chkrootkit utiliza los siguientes comandos para hacer sus pruebas: awk, corte, egrep, encuentra, cabeza, id, ls, netstat, ps, cadenas, sed, uname. Es posible, con la opción '-p', para proporcionar una ruta alternativa para chkrootkit para que no se utilice del sistema (posiblemente) comprometido binarios para hacer sus pruebas. Para utilizar, por ejemplo, los binarios en / cdrom / bin: #. / Chkrootkit-p / cdrom / bin Es posible añadir más rutas con un `: ' #. / Chkrootkit-p / cdrom / bin :/ floppy / mybin A veces es una buena idea para montar el disco de una máquina comprometida en un equipo de su confianza. Se puede montar el disco y especifique una nueva rootdir con la opción '-r'. Por ejemplo, supongamos que el disco que desea comprobar está montado en / mnt, entonces: #. / Chkrootkit-r / mnt Los mensajes de salida Los siguientes mensajes se imprimen chkrootkit (excepto con las opciones de comando-x-qy) durante sus pruebas: "Infected": la prueba ha identificado un comando probablemente modificado por un rootkit conocido; "No infectado": la prueba no encontró ninguna firma rootkit conocido. "No probado": la prueba no se realizó - esto podría ocurrir en las siguientes situaciones: a) la prueba es OS específico; b) la prueba depende de un programa externo que no está disponible;

240

Traducido por Sykrayo España

c) se dan algunas opciones específicas de la línea de comandos. (Por ejemplo,-r).

241

Traducido por Sykrayo España

"No encontrado": el mandamiento de ser probado no está disponible; "Vulnerable pero discapacitado": el comando se infecta pero no en uso. (No correr o comentado en inetd.conf) Se ha encontrado un comando troyanizado. ¿Qué debo hacer ahora? Su mayor problema es que el equipo ha sido comprometido y este chico malo tiene privilegios de root. Tal vez usted puede resolver el problema con sólo reemplazar el comando troyano - la mejor forma de hacerlo es volver a instalar el equipo desde un dispositivo de seguridad y seguir las recomendaciones de seguridad de su proveedor. Más información "Adición Chkrootkit a su arsenal de Auditoría Unix", por Bill Hutchison, disponible en http://www.giac.org/practical/ Gsec / Bill_HUTChison_GSEC.pdf "Descripción de los Rootkits", por Oktay Altunergil, disponible en http://www.linuxdevcenter.com / pub / a / linux/ 2001/12/14/rootkit.html "Análisis de rootkits", por Oktay Altunergil, disponible en http :/ / www.linuxdevcenter.com / pub /un / linux/ 2002/02/07/rootkits.html

242

Traducido por Sykrayo España

chntpw: Cambie las contraseñas de Windows. Desarrollado por Petter Nordahl-Hagen. Disponible desde http://home.eunet.no / ~ pnordahl / ntpasswd / Esta es una herramienta muy útil para restablecer la contraseña en cualquier Windows NT, 2000 y XP cuenta. Para que esto funcione, la unidad que contiene el sistema operativo debe ser montado como lectura / escritura para permitir que el programa para modificar el registro del sistema de destino. La siguiente es tomado de: http://home.eunet.no/ ~ pnordahl / ntpasswd / README.txt
La Offline NT Password Editor ¿Qué hace? ---------------Este pequeño programa te permitirá ver algo de información y cambiar las contraseñas de usuario en un entorno Windows NT SAM UserDatabase archivo.Solo no necesita saber las contraseñas antiguas. Sin embargo, es para obtener el archivo de alguna manera u otra adición yourself.In necesario que contiene un editor de registro sencillo, con soporte total de escritura y editor hexadecimal que le permite ver alrededor de los bits y bytes en el archivo como desee usted mismo. ¿Por qué? ---A menudo me olvido de contraseñas. Especialmente en (Que acabo de tener _debe_ instalaciones de prueba un poco de materia de medio año después ..) En la mayoría de los cuadros basados en unix simplemente arrancar la cosita de algún tipo de rescate bootmedia (cd / floppy, etc), y simplemente editar la contraseña file.On Windows NT sin embargo, en lo que Lo sé, no hay manera de excepción reinstalar el UserDatabase, perdiendo todos los usuarios excepto administración. (Ok, algunas compañías permiten pagar lotsa $ $ $ $ $ por algún servicio de rescate ..) ¿Cómo? ---En la actualidad, esto sólo se ejecuta en Linux, pero que sólo puede pasar a compilar en otras plataformas, también. (Hay dosificaciones versiones disponibles, buscar enlaces en mi página web) Por lo tanto, para establecer un nuevo adminpassword en su instalación de NT que sea: 1) Tome el disco duro y montarlo en un linux-box 2) Utilice un disco de arranque linux-o CD uno está disponible en: http://home.eunet.no/ ~ pnordahl / ntpasswd / es decir. lo hace fuera de línea, con el sistema NT abajo. Uso: -----chntpw versión 0.99.2 040105, (c) Petter N Hagen chntpw: cambio de contraseña de un usuario en un archivo SAM de NT, o invocar el Editor del Registro. chntpw [OPCIONES] <samfile> [systempara] [securityfile] [otherreghive] [...] Mensajes hThis -U <usuario> usuario para cambiar, Administrador es por defecto -LLIST todos los usuarios en el archivo SAM

243

Traducido por Sykrayo España

-IInteractive. Lista de usuarios (as-l) y luego piden nombre de usuario para cambiar -ERegistry editor. Ahora con soporte de escritura completo! Depurador buffer-Denter lugar (editor hexadecimal), -Ttrace. Mostrar hexdump de estructuras / segmentos. (Función de depuración en desuso) -VBE un poco más detallada (por debuging) Nombres-LWrite de archivos modificados a / tmp / cambiar Modo de asignación-NNo. Sobrescribe posible únicamente misma longitud (estilo antiguo)

244

Traducido por Sykrayo España

El uso normal es: > Chntpw sam seguridad del sistema - Secciones del Registro abierto "sistema" y la cuenta de administrador cambio "sam" y. Veriones de fecha posterior a partir de febrero 1999, y más tarde también apoya y encontrará la cuenta de administrador, incluso si el nombre ha sido cambiado, o el nombre ha sido localizada (diferente LanguageVersion de NT utilizar diferentes adminis-nombres) La opción-u: Especifica usuario cambiar: > Chntpw-u jabbathehutt mysam - Solicitar la contraseña de 'jabbathehutt', si se encuentra (de lo contrario no hacer nada) O puede dar número de RID en hexadecimal: > Chntpw-u 0x1F4 mysam - Editaremos administrador. Los nombres no soporta caracteres multibyte (Unicode) como algunas configuraciones regionales de ruso y asiático. Dale RID en hexadecimal para editar usuarios con tales nombres. Debe comenzar por 0x. Ex: 0x2fa La opción-l: Volu una lista de todos los usuarios en el archivo sam. ntad opción: El iEntra en el sistema de menú interactivo. La opción-d: Esto cargará el archivo y, a continuación, introduzca inmediatamente el depurador buffer. Este es un simple editor hexadecimal con sólo unos pocos comandos, escriba? en el. del sistema para ver una descripción breve orden. 'Q' sale sin guardar, salida 's' y guarda. El e- opción: Volu entrar en el editor del registro. ntad Usted puede navegar por el registro como un sistema de archivos en el indicador de línea de comandos: Ver fichero regedit.txt para más información. La opción-t: Este es una función de depuración -L) para mostrar cómo se traza la cadena de las (ampliado estructuras de el archivo. Esto también incluye una interpretación cruda de las diferentes estructuras de registro + un volcado hexadecimal. La opción-L: Drops los nombres de archivo de las colmenas cambiado en / tmp / cambiado Utilizado por los guiones flexibles. La opción-N: Volu caer de nuevo en el modo de edición antigua, desactivar las asignaciones de ntad bloques y sólo admiten sobrescritura del mismo tamaño. Se utiliza para garantizar la seguridad en el periodo

245

Traducido por Sykrayo España

de prueba.

246

Traducido por Sykrayo España

dcfldd: dd reemplazo del DCFL. Desarrollado por Nicholas Harbour. Disponible desde http://dcfldd.sourceforge.net/

Esta herramienta fue desarrollada originalmente en el Departamento de Defensa de Informática Forense Lab (DCFL), de ahí el nombre. Mientras Nick Harbour ya no está afiliado a la DCFL, todavía mantiene el paquete. El DCFL no mantener, apoyar, o tener cualquier otra afiliación con dcfldd (Harbour, 2006). Helix contiene dcfldd 1.3.4 que está siendo sometido a acredidation forense. dcfldd es una versión mejorada de GNU dd con características útiles para la medicina forense y la seguridad. Basado en el programa dd encuentra en el paquete GNU Coreutils, dcfldd tiene las siguientes características adicionales (Harbour, 2006): • • • • • • • Hashing on-the-fly - dcfldd puede hash de los datos de entrada, ya que se está transfiriendo, ayudando a garantizar la integridad de los datos. Salida de estado - dcfldd puede actualizar el usuario de su progreso en términos de la cantidad de datos transferidos y cuánto tiempo llevará la operación. Toallitas de discos flexibles - dcfldd se pueden utilizar para limpiar los discos de forma rápida y con un patrón conocido, si se desea. Imagen / limpie Verify - dcfldd puede comprobar que una unidad de destino es un partido de bit por bit del archivo de entrada especificado o patrón. Múltiples salidas - dcfldd pueden dar salida a varios archivos o discos a la vez. Salida de Split - dcfldd puede dividir en varios archivos de salida con más configurabilidad que el comando Dividir. Salida de corriente y registros - dcfldd pueden enviar todos sus datos de registro y de salida de comandos, así como archivos de forma nativa.

La siguiente es la página de manual de dcfldd.
NOMB RE dcfldd - página del manual para (Dcfldd) 1.2.4 dcfldd

SINOPSIS dcfldd [OPTION] ... DESCRIPCIÓN Copiar un archivo, convertir y formatear según las opciones. bs = bytes fuerza ibs = bytes y

obs = bytes

cbs = bytes convertir bytes bytes de una vez conv = PALABRAS CLAVE convertir el archivo de acuerdo con la lista de palabras clave separadas por comas count = BLOQUES copiar sólo los bloques de entrada BLOQUES

247

Traducido por Sykrayo España

ibs = bytes Bytes de lectura de bytes a la vez

248

Traducido por Sykrayo España

if = Archivo leer desde archivo en lugar de la entrada estándar obs = bytes escribe bytes bytes de una vez de = Archivo escribir al archivo en lugar de stdout NOTA: de = archivo puede ser utilizado varias veces para escribir la salida a varios archivos al mismo tiempo buscar = BLOQUES omit BLOQUES obs-tamaño en el arranque de la producción ir skip = BLOQUES omitir BLOQUES ibs de tamaño al inicio de la entrada patrón = HEX utilizar el patrón binario especificado como entrada Textpattern = TEXTO Utilice el texto repitiendo como entrada hashwindow = BYTES realizar un hash en cada BYTES cantidad de datos hash = NOMBRE ya sea MD5, SHA1, SHA256, SHA384 y SHA512 defecto algorithmis md5. Para seleccionar varios algoritmos para ejecutar introducir simultáneamente los nombres en una lista separada por comas hashlog = Archivo enviar la salida hash MD5 de archivo en lugar de stderr si usted está utilizando varios algoritmos hash se puede enviar a cada una seperatefileusingtheconvention ejemplo ALGORITHMlog = FILE, para md5log = ARCHIVO1, sha1log = ARCHIVO2, etc hashformat = FORMATO mostrar cada hashwindow según FORMATO se describe el formato de hash mini-idioma a continuación totalhashformat = Formato de pantalla el valor hash total según Estado FORMAT = [on | off] pantalla un mensaje de estado continuo en stderr estado predeterminado es statusinterval "on" = N actualizar el mensaje de estado de todos los bloques de N valor predeterminado es 256 sizeprobe = [si | de]

249

Traducido por Sykrayo España

determinar el tamaño del archivo de entrada o de salida para su uso con los mensajes de estado. (Esta opción le da apercent-

250

Traducido por Sykrayo España

edad indicador) ADVERTENCIA: no use esta opción en contra de un dispositivo de cinta. dividir = BYTES escribir todos los BYTES cantidad de datos en un nuevo archivo Esta operación se aplica a cualquiera de = Archivo que sigue splitformat = TEXTO el formato de extensión de archivo para la operación de división. número youmayuseany de 'a' o 'n' en cualquier combo el formato por defecto es NOTE "nnn": El efecto splitandsplitformatoptionstake

onlyforoutputfiles especificados después de aparecen las opciones en estas el comando line.Likewise, puede especificar estas varias veces para los diferentes archivos de salida dentro de la misma línea de comandos. usted puede utilizar como muchos dígitos en que le gustaría. (por ejemplo cualquier combinación "Anaannnaana" sería válida, pero bastante loco) vf = Archivo verificar que coincide con la ARCHIVO

entrada especificado

verifylog = Archivo enviar verificar los resultados de archivos en lugar de stderr - Help muestra esta ayuda y finaliza - Version información de la versión de salida y salida La estructura del formato puede contener texto válido y variables especiales. Las variables incorporadas se utilizan el siguiente formato: # variable able_name # Pasar cadenas de formato para el programa desde una línea de comandos, puede ser necesario rodear las cadenas de formato con "citas". Las variables incorporadas se enumeran a continuación: window_start El desplazamiento de la hashwindow byte inicio window_end El byte de fin de desplazamiento del hashwindow block_start El bloque de inicio (por tamaño de bloque de entrada) de la ventana block_end El bloque final (por el tamaño de bloque de entrada) de la ventana de hash hashThe valor hash algoritmo El nombre del algoritmo hash Por ejemplo, el formato predeterminado para hashformat y totalhashformat

251

Traducido por Sykrayo España

son: hashformat = "# window_start # - # window_end: # almohadilla #" totalhashfor-mat = "Total (algoritmo # #): # almohadilla #" La estructura FORMATO acepta los siguientes códigos de escape:

252

Traducido por Sykrayo España

\ NNewline \ TTab \ Regreso rCarriage \ \ Inserte el carácter '\' # # Introduce el carácter '#' como texto, no es una variable BLOQUES y BYTES pueden ser seguidos por los followingmultiplicativesuffixes: XMM, c1, c2, B512, kD 1000, K 1024, MD 1.000.000, M 1.048.576, GD 1000000000, G 1073741824, y así sucesivamente para T, P, S, Z, Y.Each palabra clave puede ser: asciifrom EBCDIC a ASCII ebcdic de ASCII a EBCDIC ibmfrom ASCII a EBCDIC alternado blockpad registros de línea nueva terminadas con espacios para cbs-size desatascar reemplazar los espacios finales en los registros cbs-size con salto de línea lcasechange mayúsculas a minúsculas notrunc no truncar el archivo de salida ucasechange minúsculas a mayúsculas swabswap cada par de bytes de entrada

noerror continuar después de errores de lectura syncpadeveryinputblockwithNULs a ibs-size, cuando se utiliza con bloquear desbloquear, rellenar con espacios en lugar de NULs o

253

Traducido por Sykrayo España

e2recover: Recuperar archivos borrados en sistemas de archivos ext2. Desarrollado por Aaron Crane. Disponible desde http://www.ibiblio.org/linsearch/lsms/e2recover1.0.html La siguiente es tomado de la orden: e2recover - help
Uso: e2recover [OPTION] ... [LSDEL-FILES] ... Intento de recuperar archivos borrados de un sistema de archivos ext2, utilizando la salida (en LSDELArchivos) del comando "lsdel" en la entrada debugfs.Standard se lee si no hay nombres ningún archivo se dan o en un nombre de archivo de `- '. Los archivos recuperados se guardan en el directorio temporal adecuado, con nombres como` e2rec.PID.DEV.INUM' Utiliza las variables de entorno. $ FSGRAB y $ debugfs para encontrar esos programas, o se ve en $ PATH si es desarmado. -B, - block-size = sistema de archivos BLOCKSIZEthe tiene bloques de BLOCKSIZE bytes (por defecto: 1024) -D, - device = sistema de archivos DEVICEthe está en el dispositivo (Por defecto: / dev/hda1) -G, - supongo-indirectstry para recuperar archivos con indirecta a cero bloques por el supuesto de que no había fragmentación en ese archivo -T, - tmpdir = TMPDIR, escribir los archivos recuperados a TmpDir - Tempdir = TMPDIR (predeterminado: $ {TMPDIR :-/ tmp}) - Helpdisplay esta ayuda y salir - Version versiondisplay información y salir BLOCKSIZE puede tener un sufijo multiplicador opcional: w para 2, b de 512, k 1024, m para 1Meg.BLOCKSIZE debe ser un múltiplo exacto de 512 bytes. para

Para obtener más información, consulte la Ext2fs Linux Undeletion mini-HOWTO de Aaron Crane, ubicado en http :/ / www.faqs.org / docs / Linux-mini/Ext2fs-Undeletion.html

254

Traducido por Sykrayo España

f-prot: F-Prot Antivirus escáner. Desarrollado por BRINCAN Software International. Disponible desde http:/ / Www.f-prot.com/productos / home_use / linux / Para los usuarios domésticos que utilizan el sistema operativo de código abierto Linux, ofrecemos F-Prot Antivirus para estaciones de trabajo Linux. F-Prot Antivirus para estaciones de trabajo Linux utiliza la reconocida F-Prot Antivirus motor de exploración para la exploración primaria, pero ha además que un sistema de heurística interna diseñado para buscar virus desconocidos (Frisk Software International, 2006). F-Prot Antivirus para Linux fue desarrollado especialmente para erradicar efectivamente los virus que amenazan a las estaciones de trabajo que ejecutan Linux. Ofrece una protección completa contra los virus de macro y otras formas de software malicioso - incluyendo troyanos. F-Prot Antivirus puede detectar un total de 232.593 gusanos, virus y otros programas maliciosos (Frisk Software International, 2006). Una versión de interfaz gráfica de usuario de este programa también está disponible. La siguiente es la página de manual de f-prot.
NOMB RE

f-prot - F-Prot Antivirus para UNIX, la línea de comandos escáner

La sintax f-prot [opciones] [archivo o directorio] is de la

DESCRIPCIÓN f-prot f-prot es una herramienta para el análisis de los archivos individuales o árboles de directorios en busca de virus. Las opciones seleccionadas determinar qué métodos se utilizan para el escaneo. Por defecto f-prot analiza todos los archivos, incluidos dentro de los archivos e informes a STDOUT. F-prot sólo muestra los archivos que se encuentran a la infección.

Opciones de informes Bydefaultf-protreports a STDOUT, y sólo muestra los archivos que se han encontrado para ser infectado.

-Añadir Anexar al archivo de informe existente. -Help Muestra breve resumen de las opciones disponibles para F-Prot Antivirus. -List Muestra una lista de todos los archivos que han

255

Traducido por Sykrayo España

sido controladas. -Nobreak No cancele exploración si se pulsa ESC. De edad No le dé un mensaje de advertencia cuando se utilizan archivos DEF obsoletos. -Página solamente una salida de pantalla a la vez.

256

Traducido por Sykrayo España

-Informe = <report_name> Guardar resultado en el archivo <report_name>. -Silent No genera ninguna salida de pantalla. Esto puede ser útil en el caso de ejecución f-prot en un cron job y el uso de la opcióninforme. -WrapWrap outpput texto para que se ajuste en 78 columnas. Esto también se aplica al archivo que se utiliza con la opción-report.

OPCIONES DE LECTURA Por defecto f-prot analiza todos los archivos, incluyendo el interior de los archivos.

-AiEnable detección de virus de red neuronal. El-ai opción no se debe utilizar con la opción-noheur. -Archive = n [por defecto es 5] Escanear dentro de archivos n niveles soportados profundo, el intervalo admitido se encuentra entre 1 y 99. La forma más antigua '-archive' es apoyado por razones de compatibilidad, en cuyo caso n se establece en 5. Archivos soportados son. Zip,. Cab,. Tar,. Gz,. Lzh y archivos. Arj. Actualmente F-Prot Antivirus no es compatible con la desinfección o eliminación de archivos infectados dentro de archivos comprimidos. Buzones de correo de Unix se considera que son los archivos y por lo tanto, F-Prot Antivirus no es capaz de eliminar los archivos adjuntos infectados de los buzones. -Servidor [default] Los intentos toidentifyinfectionswithinpasswordprotected archivos. "Servidor" implica "-archive = 5". -Noserver Doesnotattempttoidentify infecciones dentro contraseña proarchivos protegidos. -AutoAutomatically eliminar los virus detectados. Como se señaló anteriormente, esto no funcionara con ficheros archieved. -Collect Scana viruscollection. Esta opción está pensada para avanzados los usuarios. Cuando se utiliza esta opción lo hará, por ejemplo, scanforbootsectorviruses withinfiles, eventhoughthevirus reside en un archivo en lugar de un sector de arranque. -Eliminar Eliminar los archivos infectados. Isrequired.However confirmación del usuario, el-autooptioncanbeused toautomatically confirmar la acción. F-Prot Antivirus hace No supportremovalofinfected objetos situados en los archivos. Además, la opción de la cancelación no afecta a documentos de Office, ya que podrían provocar la pérdida de trabajo. -Desinf Desinfectar

siempre

que

sea

posible.

Es

necesaria

la

210

Traducido por Sykrayo España

confirmación del usuario. ¿CómoAlguna vez, el auto-opción se puede confirmthe automáticamente utilizar para action.F-ProtAntivirusdoesnotsupportdisinfectionof objetos infectados ubicados en los archivos. -Mudos [default]

211

Traducido por Sykrayo España

Analiza todos los archivos Archivos por contenido typeScan. Por f-protscansallfiles.By utilizando la opción-tipo por defecto, se indica que el escáner para limitar la búsqueda de la digitalización de contenidos. -ExtScan sólo los archivos con extensiones predeterminadas. Por exploraciones opción allfiles.Byusingthe-ext f-prot defecto, se indica que el escáner para limitar la búsqueda a los archivos con extensiones predeterminadas. De seguir Siga los enlaces simbólicos. Esto debería ser usedwithcare, asthe programdoesnotdetect directorios "circulares", y puede quedar atrapado en un bucle sin fin. -Noheur Desactivar el análisis heurístico. El-noheur opción no se debe utilizar con la opción-ai. -Nosub No analizar subdirectorios. -Onlyheur Utilice sólo heurística, no buscará las firmas de virus conocidos. Al utilizar esta opción F-Prot Antivirus sólo detectará una fracción de los archivos infectados. Lleno de [default] Desembale comprime ejecutables. No hay que corresponde Opción-nopacked. Esta opción se proporciona por razones de herencia. -Cambiar el nombre Cambiar el nombre de las extensiones de los archivos infectados para evitar que se ejecute, por ejemplo, el cambio de nombre a file.com file.vom y file.exe a file.vxe. Esto no impide que los archivos se ejecuten en Unix ya que por un lado. Exe y. Com archivos de Win-dows no pueden ejecutarse en una plataforma Unix por defecto, y en las otras extensiones de archivo de mano no se utilizan en los sistemas Unix con se refiere a la ejecutabilidad.

MACRO opciones de exploración Por exploraciones f-prot predeterminados de macro dentro de los tipos de archivos conocidos.

-Nomacro No escanear en busca de virus de macro. -Onlymacro Sólo escanear en busca de virus de macro. -RemoveAll Eliminar todas las macros de todos los documentos. Cuando esto optionisused con-Desinf o-delete se eliminarán todas las macros detectadas.

212

Traducido por Sykrayo España

-Removenew Retire nuevas variantes de virus de macro evacuando a todas las macros de los documentos infectados. -Saferemove Eliminar todas las macros de los documentos, si se encuentra un virus conocido.

213

Traducido por Sykrayo España

OPCIONES DE INFORMACIÓN Estas opciones de información son independientes, youcannotcombinethem withotheroptions. (La información de versión que se muestra por verno están incluidos en el comienzo de cada informe de análisis por defecto).

-Verno información de la versión Show. -Virlist Lista de virus conocidos por F-Prot Antivirus archivos de firma withthecurrentvirus. -Virno Givestatisticalinformationaboutvirusesknownto F-Prot Antivirus con los archivos de firmas de virus actuales.

CÓDIGOS DE SALIDA DEL PROGRAMA 0Normal exit.Nothing encontrado,

no hicieron nada.

1Unrecoverable error (por ejemplo, falta de archivos de firmas de virus). 2Selftest falló (programa ha sido modificado). Se encontró 3Al menos un objeto infectado por el virus. 4Reserved, actualmente no está en uso. Terminación 5Abnormal (escaneo no terminó). Se eliminó 6En un virus menos. 7Error, sin memoria. Se encontró 8En menos un objeto sospechoso. 9En menos un objeto era notscanned (encryptedfile, UNSUPportado método de compresión / unknown, archivo no admitido / unknown for-mato, archivo dañado o no válido). 10AT no sea un objeto de archivo no fue escaneado (contiene más de N niveles de archivos anidados, como se especifica con-archive interruptor).

214

Traducido por Sykrayo España

Fatback: Analizar y recuperar archivos FAT eliminados. Desarrollado por Nicholas Puerto del DoD Computer Forensics Lab. Disponible desde http://prdownloads.sourceforge.net / biatchux / Fatback es una herramienta forense para undeleting archivos de sistemas de archivos FAT de Microsoft. Fatback es diferente de otras herramientas de deshacer la eliminación, ya que hace lo siguiente: • • • • • • • • Se ejecuta en entornos UNIX (sólo Linux y FreeBSD probados hasta ahora) ¿Puede recuperar archivos de forma automática Soporta nombres largos de archivo Soporta FAT12, FAT16 y FAT32 Modo interactivo de gran alcance Recursivamente Recupera directorios borrados Recupera las cadenas de racimo perdidos Funciona con particiones individuales o discos enteros

La siguiente es tomado de la orden: Fatback
Uso: Fatback [ARCHIVO]-l [LOG] [OPCIÓN] ... Recuperar archivos de sistemas de archivos FAT. Fatback v1.3 (C) 2000-2001 DoD Computer Forensics Lab -O, - output = DIRspecifies un directorio para colocar los archivos de salida -A, - el modo de recuperar AUTOAUTO. no interactiva recupera todos los archivos borrados -L, - log = LOGFILEspecifies un archivo Registro de auditoría a. -V, - información adicional verbosedisplay a la pantalla. -P, - partition = PNUMgo directamente a la partición PNUM -D, - delprefix = PREFIXuse PREFIJO para significar los archivos borrados en lugar del default "?" -S, - singleforce en modo de una sola partición -Z, - sectsize = SIZEadjust el tamaño del sector. predeterminado es 512 -M, - mmapuse mmap () Archivo de I / O para un mejor rendimiento -H, - Helpdisplay esta ayuda errores pantalla Inform a <harbourn@dcfl.gov> e

La siguiente es tomado de la Fatback-manual.info del http :/ / prdownloads.sourceforge.net / biatchux /Fatback-1.3.tar.gz
Usando Fatback ************* Con el fin de atender a los usuarios una variedad de niveles de experiencia, Fatback ofrece dos maneras de interacting.The primer método se denomina modo "automático" y de entrada se da únicamente en el método line.This comando es para los usuarios que simplemente quieren recuperar todo archivos (o sólo los archivos borrados) de una partición y no ser molestado por los detalles. El segundo método se denomina modo "interactivo" mode.In interactiva, un usuario interactúa con Fatback a través de un intérprete de comandos que imita la apariencia de un modo tradicional

215

Traducido por Sykrayo España

UNIX shell.Interactive se recomienda para usuarios que quieren hacer Restauración de más avanzada.

216

Traducido por Sykrayo España

No hay diferencia en la técnica de recuperar de los dos diferentes modes.When un usuario ejecuta Fatback en el modo automatizado, que se ejecuta realmente predefinido o "enlatada" comandos a través del intérprete Fatback. La única limitación del proceso automatizado de una sola partición. modo (desde la versión 1.3) es que sólo se

Para ejecutar Fatback, escriba el nombre del programa (`Fatback '), a continuación, escriba las opciones que desee pasar a Fatback.The último argumento en la línea de comandos debe ser el nombre de la file.Here entrada es la sintaxis del comando: OPCIONES FATBACK archivo de entrada Las opciones pueden ser una letra o una palabra, y pueden o no requerir ningún ejemplo arguments.For, para especificar un archivo para colocar el registro de auditoría en, es posible que pueda utilizar 'del pabellón o el `- registro de los`-l. flag.These opciones requieren un argument.To especificar el argumento necesario con el `-l' opción, use`-l archivo "para especificar el argumento con la opción `- log 'opción, use` - log = FILE. El archivo de entrada puede ser un dispositivo (un archivo en el directorio `/ dev ') o una imagen de un disco o partición.

Registros de auditoría ========== Fatback utiliza registros de auditoría que lleve un registro de las operaciones realizadas en un session.The datos registra incluye los comandos que el usuario escribe, la línea de para ejecutar comandos que se utiliza el programa, el entorno de los usuarios, la información sobre el ser analizado, partición y la información acerca de cada archivo que se recuperó. De forma predeterminada, el registro de auditoría se escriben en un archivo llamado `fatback.log 'en el tienda actual directory.To el registro de auditoría a una ubicación, utilice la opción diferente o `- Interruptor = FILE registro. `-l FILE

Opciones de línea de comandos ==================== Fatback versión 1.3 proporciona la siguiendo el mandato Opciones de la línea:

`-A ' `- Auto ' Ejecutar Fatback en modo automático recuperar mode.This intentará recuperar todos los archivos borrados de una que sólo partición determinada, y partition.If los datos de entrada es una unidad con particiones, utilice el número de `-p 'o` - partition = NÚMERO "opción para especificar la partición de usar. `-O directorio ' `- Output = DIRECTORIO ' Lugar recupera archivos en el directorio specified.If Fatback se ejecuta en el modo de recuperar automático, o si se realiza una

217

Traducido por Sykrayo España

copia recursiva, se crearán los subdirectorios debajo del directorio de salida que corresponden a los directorios en la partición que Fatback está trabajando. `-L archivo de registro ' `- Log = log-file ' Coloque el registro de auditoría en el archivo especificado.

218

Traducido por Sykrayo España

`-V ' `- Verbose ' Muestra información extra a la pantalla. `-P partición-bd ' `- Partition = partición-bd ' Procesar una partición específica de una partición en coche.La es necesario utilizar el modo automático con un modo interactivo drive.In particionado, el menú de la partición será anulada. `-D ' `- Delprefix = prefijo ' Usar prefijo que el principio del nombre de files.The borrado valor predeterminado es '?'. `-S ' `- Single ' Trate de entrada como una sola partición sin comprobar particiones. `-Z SECTOR DE TAMAÑO" `- Sectsize = SECTOR DE TAMAÑO" Utilice SECTOR-tamaño que el tamaño del sector de los datos de entrada en lugar de la defecto valor de 512. `-H ' `- Help ' Muestra una pantalla de ayuda y poner fin a `-V ' `- Version ' Muestra el número de versión Fatback y terminar.

La intérprete Fatback ======================= Si Fatback se ejecuta sin la `-a 'o` - auto' opción, entra en lo que se llama "Interactivo" mode.In modo interactivo, Fatback le da un aviso para que puedas introducir comandos y Fatback directa para realizar tareas más la automática específicas que el modo de recuperar. de entrada es una unidad de particionado, Fatback será primero mostrar un menú de posibles particiones y por el que te gustaría trabajar with.Fatback entrar en la A partición y usted puede comenzar a explorar y recuperar archivos de continuación, rápido! El intérprete de comandos es el modelo libremente después de la shell clásico UNIX medio El intérprete ofrece un prompt ('Fatback>' por defecto), y la mímica ambiente. varios comandos de shell UNIX como `ls ',` cd', `pwd ',` cp', y muchos otros. Versión 1.3 Fatback tiene los siguientes comandos: `Cd ' Si el

Cambie a un directorio especificado

`Copy '

219

Traducido por Sykrayo España

`Cp ' Copiar archivos a un sistema de archivos externo

`Ayuda ' Muestra una lista de comandos y una breve descripción de cada

220

Traducido por Sykrayo España

`Dir ' `Ls ' Entradas de la lista de un directorio `Pwd ' Escriba el nombre del directorio actual `Stat ' Muestra información detallada acerca de una entrada de directorio `Cadena ' Muestra la cadena de clúster para una entrada de directorio `Cpchain ' Copiar una cadena de clústeres en un archivo `Lostchains ' Mostrar una lista de cadenas de racimo perdidos en la partición actual `Sh '

Ejecutar un comando en

el medio ambiente fuera

`Set ' Establezca las variables de tiempo de ejecución dentro Fatback `Hecho ' Dejar de trabajar con la partición actual o salida Fatback si está en modo de una sola partición. 'Quit' Salir Fatback El 'copia' comando es sinónimo de `cp 'y el comando` dir' es sinónimo de con el alias de `ls` dir 'fueron creadas para dar a los usuarios que utilizan principalmente'. El 'copy' y DOS una interfaz Sin embargo, el intérprete Fatback fue diseñado para imitar familiar. un Shell UNIX, por lo que la forma `cp 'y` ls' se prefieren y utilizan toda la documentación. Es importante señalar que es Fatback entradas de directorio sensitive.All mismo caso están en mayúsculas, y algunos pueden tener un nombre largo de archivo (* nota nombres de archivo largos ::) asociado a él que puede ser en mayúsculas y minúsculas. Al especificar las entradas de directorio debe usar el nombre exacto mayúsculas, o el largo archivo name.To especificar un nombre de archivo largo que contiene espacios en blanco, poner el nombre completo en el ejemplo de doble quotes.For, el `Archivos de programa" en un directorio de sistema de Windows se puede especificar ya sea `PROGRA ~ 1" o `" Archivos de programa "".

El comando `cd ' ---------------El comando `cd 'tiene la siguiente sintaxis: cd DIRECTORIO Este fijará el directorio actual DIRECTORY.DIRECTORY puede ser cualquier número de

221

Traducido por Sykrayo España

capas más profundas de la directory.For actual ejemplo, para cambiar al 'sistema' directorio bajo el directorio `ventanas 'en el directorio raíz, deberá ejecutar el siguiente comando: cd / windows / system

222

Traducido por Sykrayo España

nombres de directorio `. ' y '..' están reservados para la especificación de ruta relativa `purposes.The '. es una entrada de directorio que representa su ejemplo directory.For padres, especificando `MYDIR /. es lo mismo que si se especifica `MYDIR 'porque el'. ' indica su padre, que es `MYDIR '. Del mismo modo, el` ..' entrada especifica el padre directorio del directorio padre de itself.An ejemplo de esto sería `MYDIR / SUBDIR / .. ', lo que por supuesto ser el mismo que` MYDIR'.

La

El comando `cp ' ---------------El comando `cp 'se utiliza para copiar archivos desde el entorno Fatback a la system.It archivo host tiene la siguiente sintaxis: cp OPCIONES DE ARCHIVOS A-DIRECTORIO Los archivos pueden ser especificados como cualquier número de nombres de archivo o patterns.Patterns se utilizan para especificar varios archivos a la vez mediante el uso de secuencias especiales de characters.The la mayoría de patrones utilizados son '*', '?' Y `[] '. El '*' carácter se utiliza para especificar cero o más caracteres de cualquier tipo, '?' especifica un carácter de cualquier tipo, y `[] 'especifica un único carácter de un conjunto específico.

Patrones ........ Cuando se utiliza por su auto, el carácter '*' coincidirá con directory.For todos los archivos de una ejemplo, el siguiente comando que copiar todos los archivos en el directorio actual a la `/ Mnt / data 'en el sistema de archivo de hosts: cp * / mnt / data El '*' personaje también puede ser usado en conjunción con other.For ejemplo, el siguiente comando copia todos los archivos que terminan en `exe." En el directorio de datos '`/ mnt /: cp *. exe / mnt / data He aquí un ejemplo del uso de los '?' carácter para copiar todos los archivos de la `SETUP 'directorio que tengan un carácter de una ampliación de la` / mnt / data' del directorio: cp PARAMETROS / *.? / Mnt / data El [] patrón `'es un poco más compleja que los ejemplos anteriores. Entre la escuadra izquierda y derecha es donde un conjunto específico de caracteres coincidentes es specified.For ejemplo, el patrón '[Abc]' coincidirá con la letra 'a', 'b', o 'c'. Rangos o personajes también ser especificado usando la opción `- carácter 'entre otros dos pueden personajes. Con esta sintaxis, todas las letras del alfabeto se pueden especificar utilizando el `[Az] '. patrón Los patrones pueden ser combinados para una mayor energía.Si copiar todos los archivos de la

223

Traducido por Sykrayo España

directorio actual que comienzan con un número terminan con la extensión '. dat' a la y `/ Mnt / data ', el siguiente comando se puede utilizar: cp [0-9] *. dat / mnt / data Para obtener más información sobre la sintaxis de los patrones, consulte sus páginas del manual de sistemas bajo pegotes (7).

`Opciones de comando cp '

224

Traducido por Sykrayo España

.................... El `cp 'comando acepta dos opciones`-d' y `-R '. La opción`-d' opción dice `cp 'a sólo copiar los archivos que se eliminan, y saltear archivo activo entries.The `-R 'opción hace que el comando recurse por cualquier subdirectorios que finds.To Recuperar todos los archivos de una partición en el` / mnt / data' directorio, use el siguiente comando: cp-d-R / * / mnt / data

El comando `ls ' ---------------El `ls 'se utiliza para mostrar las entradas en una siguiente: ls DIRECTORIO Las entradas en el directorio indicado se displayed.If se especifica ningún directorio, las entradas en el directorio actual son directorios displayed.Multiple también se pueden mostrar al mismo tiempo, mediante la especificación de más de un directorio, o mediante el uso de un patrón. sintaxis directory.The para `ls 'es tan

El `stat ' Comando -----------------El `stat 'comando muestra información detallada acerca de una información entry.This directorio incluye toda la información mostrada por` ls', además de información adicional como la cadena de clústeres y la fecha de `Comando stat 'tiene la siguiente creación. La sintaxis: estadísticas ARCHIVOS

El comando `cadena ' ------------------La 'cadena' comando muestra la cadena de grupo de una entrada de directorio o la sintaxis dada entries.The para la `cadena 'es: ARCHIVOS cadena La salida de la ejecución del comando `cadena 'será una serie de número numbers.Each representa un grupo de la tabla FAT que ocupa la entrada.

El comando `cpchain ' --------------------El `cpchain 'comando escribe los datos en una cadena de clústeres a un file.It' s sintaxis es la siguiente: CADENA cpchain a archivo CADENA es un valor el cluster de comienzo de la cadena de clústeres para ser numérico de escrita out.TO-FILE es donde Fatback almacenará los datos en el sistema de archivos host.

225

Traducido por Sykrayo España

El comando `sh ' ----------------

226

Traducido por Sykrayo España

El `sh 'comando ejecuta un comando en el environment.It fuera sintaxis s es simplemente el comando` sh' seguido por cualquier comando que normalmente se ejecute en un shell prompt.This puede ser útil si, por ejemplo, se ejecutó accidentalmente Fatback antes ha montado el sistema de archivos donde se pretende colocar a los archivos que se van a recuperar to.In este caso, se puede ejecutar el comando mount en un comando `sh 'así: SH mount / dev/ad0s1 / mnt / extra-hd En un plano más avanzado, el `sh 'se lleva a cabo con un mejor manejo de señales que no está presente en la `sistema UNIX estándar () 'function.This hace que sea posible para ejecutar los procesos, incluso peligrosas sin el riesgo de estrellarse el proceso padre (Fatback en este caso). En otras palabras, no teme el comando `sh ', ya que sólo se traer fortuna para ti. buena

El comando `set ' ----------------El comando `set 'se utiliza para establecer las variables de tiempo de ejecución, así como modificar el actual Tabla FAT. Para establecer las variables de tiempo de ejecución, utilice la siguiente sintaxis: establecer VARIABLE = VALOR La tabla FAT puede ser modificado mediante la siguiente sintaxis:

grupo conjunto-cuenta = VALOR GRUPO NÚMERO-representa una entrada en la tabla FAT y valor es el clúster que que los puntos de entrada to.When una entrada de la tabla FAT es modificado con 'set', los cambios no son puramente temporal y residente en memoria solamente. Si el `set 'comando se ejecuta sin argumentos, a continuación, se mostrará una lista de las variables en tiempo de ejecución y sus valores asociados.

El comando `hecho ' -----------------Si la entrada de Fatback es una unidad dividida, luego de ejecutar el comando `hecho ' causará Fatback para terminar de editar la partición actual y volver a la partición menu.Otherwise, si la entrada es una sola partición, ejecute el comando `hecho 'hará que Fatback termine.

El comando 'quit' -----------------A diferencia de la `hecho 'comando, la ejecución de la` para dejar de fumar' hará que Fatback para terminar con independencia de si la entrada es sólo una partición o varias particiones.

Variables de tiempo de ejecución

227

Traducido por Sykrayo España

================== Fatback proporciona las variables en tiempo de ejecución como una forma de configurar dinámicamente el comportamiento de su ejecución durante la segunda vuelta de time.Variables se establecen y se ve con el Comando 'set'. Aquí está una lista de las variables en tiempo de ejecución de la versión 1.3 Fatback:

228

Traducido por Sykrayo España

`Verbose ' La variable que determina si se muestra o no la información adicional en la pantalla. `Sectsize ' El tamaño de para Fatback utilizar al hacer calculations.This sector por defecto es 512, pero si una unidad de entrada utiliza un tamaño diferente y Fatback no lo detecta correctamente, a continuación, establecer esto hand.This variables también se pueden establecer a través de la línea de comandos utilizando la opción `-z 'o Opción `- sectsize '. `Rápido ' La cadena que Fatback utiliza para solicitar al user.This es fijado por por defecto a Esto probablemente será de poco interés 'Fatback>'. para la mayoría de usuarios finales, sin embargo, es importante tener en cuenta a alguien que, por ejemplo, planea escribir scripts de automatización personalizadas mediante Esperar (1). `Showall ' La variable que determina si se muestra o no archivos que no sean borrados cuando el comando `ls 'es variable executed.This se puede establecer ya sea `on 'o `Off '. Si se establece en` on', entonces todos los archivos se se muestra con el `Ls 'command.Otherwise, si está en` off' Se mostrarán los archivos sólo entonces eliminados. `Deleted_prefix ' La cadena que Fatback utiliza como la primera parte del nombre del valor predeterminado files.The eliminado es '?'.

229

Traducido por Sykrayo España

faust.pl: Analizar elf binarios y secuencias de comandos bash. Desarrollado por Frederic Raynal. Disponible desde http://www.security- labs.org/index.php3? page = faust La siguiente es tomado de http://www.security-labs.org/index.php3? Page = faust Fausto es un script en perl que ayuda a analizar los archivos que se encuentran después de una intrusión o el compromiso de un honeypot. Su objetivo no es hacer el análisis, pero para extraer los fragmentos de información que _you_ utilizará después en su análisis. Análisis Elf • Información general: MD5, el tipo de estadísticas, cabeceras, bibliotecas dinámicas. • Secciones Elf: seleccione las secciones Elfo que desea buscar, y cómo desea mostrarlos (Código asm o cadenas, por ejemplo). • Símbolos: si el binario no se elimina, los símbolos se extraen y ordenados por categorías. • cadenas: todas las cadenas se puede extraer mediante la cadena (tener cuidado de que usted consigue más cuerdas mirando directamente en algunos tramos). • análisis (arriesgado) en vivo: seleccione el modo que desee (cmd o trace) para ejecutar el programa de análisis y obtener la información asociada. • Scripts Bash • Información general: MD5, escriba. • Textos: comentarios en el guión, y los mensajes se hizo eco. • Comandos: por defecto cp, mv, ftp, wget y electrónico se muestran. • Se reportan acceso a / etc, / dev y / home: Directorios. • Referencias Cruzadas: para cada línea de juego una de las categorías anteriores, Fausto hace un seguimiento de donde pertenece. El análisis de un binario se compone de 2 partes: análisis muertas y vivas Un "análisis de muertos se centra en la información contenida en el binaryitself. Puede provenir de varios lugares, dependiendo del formato binario, y el programador. Por ejemplo, puedo recuperar el texto que aparece por un poco modificado explotar la url de un sitio web de alguien probablemente relacionado con el intruso. Entonces tengo fotos de él y algunos de sus (niña) amigos entre otras herramientas! Los nombres de las funciones de algunas variables globales son también muy instructiva si el código está relacionado con algo conocido. Desafortunadamente, si este binario es nuevo, entonces usted no puede permitirse llevar a cabo una obra de ingeniería inversa real. Un análisis "en vivo" mira lo que hace el programa al ejecutarlo. Usted entiende inmediatamente lo peligroso que puede ser: imagino que es un malware incrustado en el binario, o una instrucción oculta ("rm-rf /", incluso como usuario no root es bastante destructiva). Así que, por defecto, este análisis no se hace por fausto ... pero puede hacerlo de una manera muy simplista. Uso: faust.pl [-c archivo de configuración] [-q line citado] <file1 archivo2 ...> 230

Traducido por Sykrayo España

Ejemplo (consultar el ejecutable ls local): faust.pl-c / usr / local / bin / ls faust.conf

231

Traducido por Sykrayo España

Fenris: depuración, seguimiento, descompilación. Desarrollado por Michal Zalewski. Disponible desde http://www.bindview.com / Servicios / RAZOR/ Utilities / Unix_Linux/ Fenris_index.cfm Fenris es un trazador de usos múltiples, GUI del depurador, stateful analizador y descompilador parcial destinadas a facilitar el seguimiento de errores, auditorías de seguridad, código, algoritmos, análisis de protocolos y la informática forense - Información general sobre construcciones internas que proporciona un rastro programa estructural, capacidades de depuración interactivas, ejecución ruta, operaciones de memoria, I / O, expresiones condicionales y mucho más. Debido a que no requiere de fuentes o cualquier método de compilación concreto, este proyecto de múltiples componentes puede ser muy útil para las pruebas y evaluaciones de recuadro negro - sino que también será una gran herramienta para las auditorías de los proyectos de código abierto, como un incomparable herramienta de reconocimiento en tiempo real - especialmente cuando las fuentes son demasiado complejos o demasiado mal escrito para ser analizados a mano de una manera fiable y razonable. Fenris no se basa en GNU libbfd de las tareas críticas, y por eso, es posible y viable para rastrear y analizar los binarios modificados para engañar a los depuradores, encriptado o ajustado lo contrario. Componentes Fenris también apoyan otros, depuradores o desensambladores independientes, gracias a su capacidad para reconstruir las tablas de símbolos de Stripped, binarios estáticos sin depuración o información de símbolo alguno. (Zalewski, 2002) Este proyecto no está diseñado para encontrar los problemas, errores o vulnerabilidades de seguridad de forma automática. Se supone que es una herramienta fiable, útil que funciona en el mundo real y puede entregar información valiosa que se puede usar para detectar problemas conocidos, sino también de detectar condiciones dinámicas únicas o no tan obvio. (Zalewski, 2002) Entre muchas otras características, Fenris es capaz de realizar tradicional, instrucción por instrucción o punto de interrupción al punto de interrupción de depuración interactivo mejorado por los datos estructurales adicionales sobre el código entregado al usuario, sino que es capaz de funciones de huellas dactilares en binarios estáticos, reconstruir las tablas de símbolos en archivos ELF sobre la base de esa información, detectar de forma automática código de la biblioteca común, capaz de ofrecer, salida navegable basado en texto y gráfico que documenta diferentes aspectos de la actividad del programa en diferentes capas de abstracción, capaz de realizar un análisis parcial de los bloques estructurales individuales. Está diseñado para facilitar las cosas, llenar el vacío entre el análisis de código existente y herramientas de depuración - pero no para sustituir a todos ellos. (Zalewski, 2002) Fenris es un poder increíble, y una herramienta compleja. El siguiente fue tomado de http://lcamtuf.coredump.cx/ Fenris / README 232

Traducido por Sykrayo España

Fenris inicio
Fenris [E-PAR = VAL] [-u usuario] [-o archivo] [-L dbase] [-R a: b] [-t nnn] [-P ip: off: val] [-sdyiCSfFmGxpAeq] Programa [Params ... ] Parámetro obligatorio es el nombre del programa, seguido eventualmente de los parámetros del programa. Si, por alguna razón, el nombre del programa tiene que empezar con '-',

233

Traducido por Sykrayo España

debe ir precedido por "-" parámetro. Antes de que el nombre del programa, se puede colocar uno o más parámetros opcionales, tales como: -O nombre de archivo Esta opción escribe resultado de archivo en lugar de stderr. Es más rápido y recomienda en todos los casos. E-PAR = VAL Pone PAR en el medio ambiente. Esto es especialmente útil si desea trazar un programa con LD_PRELOAD inusual u otros ajustes que afectaría a la funcionalidad de "Fenris 'sí, si se modifican antes. Se permiten varias opciones-E. -U usuario Ejecutar como usuario. Esta opción para la raíz (véase la sección 0x04, está disponible cuestiones de seguridad), y hará que el programa se ejecute con eficacia determinado usuario. UID GID y grupos complementarios de -R a: b Esta opción de código de rastros desde el momento eip alcanza el punto A hasta el momento en que llega a b. Gama incompleta puede ser proporcionada - para ejemplo,-R: 0x12345678 trazará código desde el principio hasta EIP 0x12345678 y 0x12345678-R: se iniciará el seguimiento en 0x12345678 y continuar el mayor tiempo posible. NOTA: pensar en ello como puntos gatillo, y no una serie continua. Por ejemplo, si utiliza-R 0x12345678:, pero eip 0x12345678 no se alcanza nunca, aunque 0x23456789 se está ejecutando, traza nunca comience. Esta opción es una maravilla para el inicio de seguimiento en cierto nivel nido y continuarlo hasta que se salga de este nivel de ejecución. -L dbase Base de datos de huellas dactilares de carga adicionales (suplementarios). Múltiple Opciones-L permitidos. Si el nombre del archivo no contiene barras inclinadas, Fenris se buscar en los directorios descritos más adelante en esta sección. -T nnn La función principal es rets nnn de _do_global_ctors_aux. Por defecto, está ajustado a 2, y no tiene que ser cambiado a menos que algo anda muy mal. Debe usar esta opción si ve que traza termina con '... retorno de la principal' casi de inmediato al inicio (Pruebe a aumentar parámetro-t) o en algún el medio o no punto no llega principal en absoluto (pruebe Sin embargo, esto no debe a disminuir). suceder, en general. El único caso que yo sepa son HMM 3 binarios (Patchlevel 1.3.1 a, no afecta a 1.3), requieren t-3 en su lugar. -X seg

234

Traducido por Sykrayo España

Usar este prefijo de segmento en lugar del predeterminado (determinado por un binario típico en su sistema) como un segmento de código. Segmento de código es el segmento de Fenris rastros activamente. Algunos binarios ELF puede ser alterado para iniciar en un segmento diferente - un buen ejemplo de ello es una herramienta crypting ELF Burneye. Dirección del se utiliza por Fenris para algunas operaciones, tales como Segmento de código describir los parámetros, manejo manejadores de señal, la función de huellas. Aunque no es absolutamente necesario, es aconsejable pasar este parámetro cuando

235

Traducido por Sykrayo España

adecuado. Pasar el byte más significativo del código de segmento de la dirección de partida ya que este parámetro (por ejemplo, si su segmento de código comienza en 0x050a0000, utilizar 0x05). -P ip: off: val Esta directiva significa: cambiar un byte en la dirección 'off' a 'val' cuando llega eip 'ip'. Si 'ip' se omite o cero, esta regla se aplicará inmediatamente a los binarios recién asignada (tener en cuenta que algunas regiones de memoria asignadas tarde pueden no estar disponibles en este momento). Indicador de sólo lectura por lo general sobreescrito, y para los archivos asignados en la memoria en modo de sólo lectura, se genera una copia local de la página modificada. Todos los valores que se pasan a este parámetro pueden ser en decimal, o en hexadecimal si es precedido por 0x, y múltiples opciones son posibles. Las participaciones no IP se aplican una sola vez, al principio. Se aplicarán Todos los demás cada vez que se llega a una dirección IP determinada. Hay algunas consideraciones adicionales a tener en cuenta cuando se utiliza junto con el seguimiento a través de execve () s - ver opción-e descripción para los detalles. -S Esta opción desactiva la detección automática de prólogo. No se recomienda, ya que hace. / trace todo el proceso de vinculación de Fenris y la inicialización libc. Sin embargo, en casos excepcionales cuando binario se ha compilado en un sistema extraño, no se admite, esto podría ser una solución. Para las operaciones a largo plazo, sin embargo, se recomienda ponerse en contacto con el autor siempre y cuando su con este binario (o parte de ella), por lo que será capaz de añadir soporte para esta construcción concreta. -Y Memoria Reports escribe y lee inmediatamente (sin-y, se informó de acceso a memoria para la función de retorno). -C Inhibe el rastreo de las expresiones condicionales. Esta opción es útil si la salida va a ser leído por humanos, ya que podría disminuir la cantidad de información presentada. -S Inhibe la resolución de funciones de la biblioteca. Esto podría afectar de alguna mejora en la velocidad, pero en general no se recomienda sin una buena razón. -F Rastrear procesos subordinados después de tenedor () o vfork (). Podría ser útil para localizar demonios y tal (sin embargo, podría causar algunos problemas debido a la señal de entrega semántica cambios, consulte 0x07, errores conocidos) -D

236

Traducido por Sykrayo España

No describa los parámetros de función. Reduce la cantidad de resultados generados. -F

237

Traducido por Sykrayo España

No funciona de huellas dactilares. Esta opción es eficaz sólo para los binarios estáticos, y deshabilitar la carga y visualización de las huellas dactilares. Esto no es muy recomendable - para binarios desnudos, hace su vida más difícil para los binarios con símbolos casi no tiene efecto. Sin embargo, podría reducir el uso de memoria y mejorar la velocidad. -M No rastrear la memoria escribe. Esta opción reduce la cantidad de producto generado. -I Esta opción desactiva la sangría, la notificación de nivel pid y nidificación. Hace que la salida no estructurales, no estándar, pero más corto. Esto también se romperá la compatibilidad con ragnarok. -X Esta opción hace que Fenris ignorar "retorno de main 'y continuará el rastreo, volviendo al nivel de jerarquía 0. En términos generales, este No se recomienda en cualquier momento. Si tiene problemas con la 'vuelta de principal "que aparece muy temprano en la traza, prueba con el parámetro re-ajuste-t en su lugar. Si esto no ayuda, al parecer, uno o más de llamadas o los convenios de retorno utilizados por la aplicación trazado no son compatibles y no deben depender de los resultados de todos modos. -P Prefijo cada mensaje con eip. Algunos comandos de informe eip, otros no, Esto podría ser útil para la depuración, y es una necesidad si se desea modificar el código más con la opción-P. Esta opción es compatible con los tarde ragnarok. Tenga en cuenta que la información no se muestra en algunos uniformes manera. Por ejemplo, las llamadas al sistema se visualizan después del regreso, las funciones locales se muestran antes de la llamada - por lo que toma un poco de tiempo para conseguir la idea. -Un Suponga que todas las funciones devuelven un valor, independientemente de las demás condiciones. Esto desencadenará algunos valores devueltos sin sentido reportados, pero es útil si el binario está muy optimizado. -Q No reporte última línea de salida en el depurador. Esto sólo tiene sentido con-W, y tiene sentido cuando se utiliza un multi-ventana de shell depurador que ya reporta salida Fenris (estamos trabajando en ese shell en este momento). -G "Vete" opción. Sólo se puede utilizar junto con-W, y resulta básicamente de todas las capacidades de análisis de Fenris - de rastreo nivel de anidamiento, detectando la función / biblioteca / sistema de

225

Traducido por Sykrayo España

llamadas, por medio de muchos otras capacidades. Es útil para el código de no-C problemático. Salida de Fenris será casi completamente desactivado y será apoyada sólo algunos mensajes de depuración (por ejemplo, de un solo paso, GetMem, dirección de punto de interrupción, etc). -E

226

Traducido por Sykrayo España

Traza nuevo código cargado por execve (). Esta opción puede ser conveniente en algunos casos, pero se debe utilizar con precaución. Además, ten en cuenta que la opción-P será global y se aplican a la imagen tanto antiguos como nuevos en la memoria, a excepción de las entradas de No-IP que se aplicarían sólo una vez. Para obtener más información sobre las aplicaciones de la informática forense, es posible que desee visitar http://lcamtuf.coredump.cx/fenris/reverse.txt, donde Traté de dar algunos consejos al acercarse mayo 2002 desafío de ingeniería inversa del Honeynet Project.

Gestión de bases de datos las huellas dactilares
Gestión de base de datos de huellas dactilares es relativamente simple. En primer lugar, Fenris busca una base de datos en los siguientes lugares: . $ / $ / Fnprints.dat HOME / .fenris / fnprints.dat Etc / fnprints.dat HOME / fnprints.dat

Además, la base de datos las huellas dactilares de encargo se puede especificar-L opción (múltiples bases de datos permitidos). Lógica de búsqueda Igual se aplica a -L parámetros, a menos que contengan componentes de la ruta ('/'). Esto es razonable para mantener bases de datos de huellas digitales separados, ya que permite a ser selectiva. Por ejemplo, si usted es a punto de remontar 'hoja', usted puede estar bastante seguro de que no va a usar las bibliotecas LibX *, por lo que en primer lugar, lat hacer búsquedas más rápido y, por tanto, a minimizar posibles falsos positivos a o la confusión causada por la identificación de algunas funciones de forma incorrecta. A modo de ejemplo, proporciono las impresiones dactilares para bastante viejo, pero todavía usado glibc 2.0.7 en support/fn-2.0.7.dat, y las huellas dactilares para libc5 (support/fn-libc5.dat). Tenga en cuenta que, en cuanto a hoy, Fenris probablemente no funcione en sistemas libc5 (tengo que portarlo), pero esto puede ser usado contra los binarios enlazados estáticamente tomado de tales sistemas. La base de datos principal se incluye con Fenris en este momento es una base de datos compuesta paratodas las bibliotecas libc para 2.1.x y 2.2.x x86 generados por 2.9x gcc 3.1. Es bastante grande, pero también versátil. Si usted cree que tiene sentido mantener las bibliotecas más pequeñas, no dude en enviar hacerlo y me la selección! Base de datos de huellas dactilares es un archivo de texto sin formato en el siguiente MD5_SIGN [debug info] nombre_funcion ¿Dónde está la información de depuración "es utilizado por la utilidad de los fprints 'para indicar la fuente (Nombre + offset) del símbolo dado, nombre_funcion se explica por sí, y MD5_SIGN es de 8 dígitos hexadecimal MD5 acceso directo para una función determinada (véase formato:

227

Traducido por Sykrayo España

sección 0x05, trazando

mecanismo para obtener más detalles sobre el algoritmo de hash).

Utilidad "fprints 'acepta cualquier archivo ELF (ejecutables, bibliotecas compartidas o reubicable. O file /. Un archivo) como parámetro y genera firmas para todas las funciones. En realidad no tiene ningún sentido para captar firmas de bibliotecas compartidas, ya que no se utilizan para construir los binarios estáticos, por lo que debe dirigirse. Archivos o lugar. Sin embargo, es posible y, a veces razonable para reunir firmas de ejecutables ELF. Permite huella algunas funciones de uso frecuente (por ejemplo, non_dynamic_init o un código común personalizado utilizado por otros, digamos que Loki utiliza algunos motor común para sus juegos, usted puede fácilmente funciones de índice en todos este motor vez y beneficiarse del reconocimiento automático después). Típico de salida se ve así:

228

Traducido por Sykrayo España

[Printf.o 52] printf CC6E587C [printf.o 52] _IO_printf CC6E587C -> Printf.o: hecho (2 funciones) Como puede ver, una de las entradas es sólo un alias. Resultados 'fprints' seleccionadas se pueden adjuntar a fnprints.dat archivo de su elección. Es importante mencionar que muchas bibliotecas tienen varias entradas para la misma función, por lo que 'fprints' no deben ser realmente utilizados para recopilar las huellas dactilares para los grandes. un archivo, como libc. Esta tarea se puede lograr mediante la invocación de utilidad "getfprints ', que es un shell derivador de scripts en torno Puede procesar todo. Un archivo o fprints. incluso múltiples archivos a la vez, elliminate incautos, y tal. Tenga en cuenta que es perfectamente posible copiar. Unos archivos de un sistema que es no soportado directamente por Fenris, por ejemplo, caja, y el extracto de libc5 firmas en un sistema diferente. Cuando se invoca sin parámetros, 'getfprints' extraerán conjunto predeterminado de símbolos de: / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib / Usr / lib (Un binario / libc.a / libm.a / libdl.a / libresolv.a / libreadline.a / libtermcap.a / libssl.a / libBrokenLocale.a / libcrypt.a estático)

Esta es la forma en que se invoca. / Script de creación, y se puede utilizar en cualquier momento para restaurar los valores predeterminados o para actualizar firmas (para la nueva versión de libc, por ejemplo). Si se invoca con un parámetro, "getfprints la voluntad ir a través de esto. un archivo o conjunto de sería: archivos. unos. Un ejemplo . / Getfprints "/ usr / lib / libcrypto.a / usr/lib/libmd5.a" Es importante citar la lista de lo que tiene efectivamente un parámetro. De lo contrario, se procesará sólo el primer archivo. Digamos que es la pereza de mi final ;-) Archivo de salida predeterminado para 'getfprints' es NEW-fnprints.dat en el directorio actual. Cuando se integra con fnprints.dat existente, por favor Seguro que elliminate engañados el siguiente comando: mediante la emisión de cat NEW-fnprints.dat fnprints.dat | uniq> limpieza new.dat Esta utilidad requiere. / Fprints estén en el directorio actual o en su camino. Otra herramienta que se suministra con el proyecto se llama

229

Traducido por Sykrayo España

'vestido', más o menos un opuesto a 'pelar'. Se aceptará un binario ELF estática despojada como un parámetro, y tratará de detectar las funciones de biblioteca. Nombres detectados serán colocados en la tabla de símbolos y se generará un nuevo archivo ELF. El uso es bastante simple: . / Vestido input_elf-este volcará símbolos a la salida estándar . / Vestido input_elf output_elf - esto creará un nuevo ELF con símbolos Opciones adicionales:

230

Traducido por Sykrayo España

-F-nnn usan este archivo de base de datos de huellas dactilares S-xxx-utilizar esta nombre que una sección de código (override. texto) Tenga en cuenta que los símbolos generados no son GDB información de depuración. En otras palabras, usted puede verlos con nm, objdump, se muestran en gdb desmontaje, pero podría haber problemas estableciendo un punto de ruptura explícita como "Romper printf". Culpa GDB. Como solución temporal, puede ejecutar vestido sin un segundo parámetro, una vez más, y tomar direcciones interesantes de la de salida. Disfrute. Recuerde que el "traje" no tiene nada que ver con 'unstrip', que se utiliza para, cito, "sustituir la tabla de símbolos en ejecutables enlazados dinámicamente".

Aegir, el depurador interactivo
El último componente discutido aquí es Aegir, el depurador interactivo. Para obtener información para programadores, consulte doc / debug-api.txt. Este breve reportaje que debe ayudar con el desarrollo de módulos de Aegir o incluso con su propio shell de depuración de una manera sencilla. reemplazar Funcionalidad de depuración interactiva entero en Fenris está diseñado para proveer instrucción por instrucción, punto de parada a punto de interrupción y watchpoint a watchpoint capacidades dentro del código local. Este significa que si bien es posible establecer un punto de interrupción en el código de la biblioteca, en realidad no es posible caminar a través de las funciones de biblioteca de instrucción a instrucción. Esto se hace por su propio bien, no creo que usted realmente desea depurar con Fenris. Fenris no remonta y nivel de anidamiento libc, así sucesivamente dentro libc, por llamadas a funciones lo que su las posibilidades son limitado de todos modos. Tenga en cuenta muy un rastreador que Fenris no es un depurador de ejecutable, biblioteca, y tratará espacio de la biblioteca más o menos como el espacio del núcleo - un agujero negro. Nosotros No están tratando de entender las funciones de la biblioteca, que se documentan y predecible (nota: esto, obviamente, no va a ser verdad para la sospecha de código de carga como una biblioteca compartida; Fenris apoyará dicho código en el futuro). Ahora mismo, me voy a centrar en la funcionalidad para el Ejecución de Aegir usuario. es muy sencillo, ya que todos los parámetros están controlados por lo que pasó a Fenris, y el único parámetro que tiene que pasar es el camino que le dio a Fenris usando opción-W antes. Fenris ya debe estar ejecutando opción para iniciar Aegir-W con. Aegir se apagará tan pronto como Fenris salidas. Aegir proporciona cierta funcionalidad básica gdb-igual, sino también varias características más interesantes. En su versión actual, también carece de varias características, como el soporte para los nombres simbólicos en muchos funciones, que pueden ser una molestia menor y deben fijarse en 0,07. La versión GUI de Aegir, nc-aegir, funciona básicamente de la misma manera, sino que proporciona una pantalla de depuración

231

Traducido por Sykrayo España

organizada con el registro, vistas de memoria y el código, vista integrada de salida Fenris y automáticos control sobre los parámetros de Fenris. nc-aegir integra sesión con Fenris el depurador, y utiliza cualquier herramienta 'screen' (cuando se texto ejecuta en un terminal) o una sesión xterm (cuando se ejecuta bajo el sistema X Window) para proporcionarle un cómodo entorno de depuración de múltiples vistas. El GUI está documentado por una ayuda explica por disponibles después de pulsar Alt-H, por lo que no se sí mismo cubrir ampliamente aquí. Tenga en cuenta que hay una diferencia fundamental entre la forma Aegir / Nc-aegir y gdb interrupciones mango. Si usted choca con Ctrl + C en Aegir o una orden "stop" nc-aegir o problema, no se detendrá de inmediato si el

232

Traducido por Sykrayo España

proceso está en el medio de una llamada de bloqueo. Se programará parar tan pronto como el control vuelve al espacio de usuario. Esto es para evitar problemas con los interrumpid llamadas estilo gdb. Para finalizar el programa inmediatamente, o al sistema, pulse Ctrl + C de nuevo, o utilizar el comando "halt". A continuación se le indicará si la llamada al sistema se reanudará a continuación o no, y qué hacer para evitar problemas. Una vez Aegir se está ejecutando, debe tener acceso a la ayuda interna, y todos los mensajes son más bien fácil de usar. La siguiente lista de comandos se proporciona para referencia más detallada: - Dinámica Este es probablemente el primer comando para emitir un binario enlazado dinámicamente estándar. Fenris se detiene en primera instrucción, que, para los ejecutables dinámicos, sería el enlazador. Para omitir el proceso de vinculación de conjunto y prólogo libc, simplemente escriba "din" y esperar un tiempo. Por supuesto, nada le impide caminar a través del proceso de vinculación y la entrada libc, pero en la mayoría de aplicaciones estándar, no tiene sentido. Por otro parte, puede suceder que ELF es ajustado para ocultar algo de código en esta fase, antes de "main" se alcanza, por lo que esta característica no es automática en el modo de depuración interactiva. En algunos sistemas, la ejecución se detiene al final de la introducción libc, y "ret" adicional puede ser necesaria. - Disass [x [les]] Llamado sin parámetros, proporcionará un desmontaje de la instrucción en eip actual. Llamado con un parámetro, se desmonte una instrucción en cualquier dirección que se indica. Con dos desmontar parámetros, será Bytes "len" comenzando en la dirección x. Desmontaje utiliza algo debería que coinciden con AT & T notación ensamblador, y todas las direcciones directas se relacionan con sus nombres simbólicos, en su caso encontrado. Tenga en cuenta que "disass", como la mayoría de otros comandos, no entiende nombres simbólicos pasado en lugar de 'X'. En otras palabras, usted no puede simplemente escribir "disass function_foo", se trata de una limitación de la aplicación Aegir actual. Por otro lado, se lata utilizar directiva para buscar una dirección de un nombre determinado. "info" Tenga en cuenta que este comando se llama con un solo parámetro en nc-aegir cambiará la vista en la ventana de código en lugar de desmontar la consola. - Regs Muestra registros de propósito general. Tenga en cuenta que Fenris en realidad no admite comandos de punto flotante de ninguna manera (gracias a su desensamblador interna), y decidió no incluir fp registra en Aegir por ahora. La mayoría de los registros se muestran en hexadecimal y decimal; eflags se muestran como hexadecimal y octal.

233

Traducido por Sykrayo España

- Back Muestra traza de pila - Historial de llamadas. Tenga en cuenta que lo que sucede en libc no se describe aquí. Si establece un punto de interrupción en syscall "nanosleep", y esto syscall se llama desde una función de biblioteca llamada desde otra función de biblioteca, todo lo que ves en la pila backtrace dará lugar a la punto en primera función de la llamada. Backtrace incluye biblioteca era rango de direcciones de pila que pertenece a esta función y otras informaciones, tales como ¿de dónde era llamada. Esta capacidad no se ve afectada por fomit-frame-pointer,

234

Traducido por Sykrayo España

o cualquier otra opción que se puede confundir gdb. - Act Muestra la última salida de Fenris. "La última salida" es sinónimo de pasado "entidad de salida", lo que normalmente significa la última secuencia de de salida causado por construcción de código. Una instrucción, tales como RET, algunos puede dar lugar a múltiples líneas están escritas por Fenris. son Todos considerarse una sola entidad. Pero si la siguiente instrucción genera otra línea, esta línea se considera una nueva entidad. Fenris general informa a Aegir la última entidad producido antes un proceso llegó a un punto de ruptura. "Cur" volverá a esta entidad funcionam iento hasta que se continúa y se detuvo una vez más el proceso, y cualquier mensaje de Fenris se generó en el medio. Este mecanismo es un poco complejo, pero funciona bastante bien. Probablemente usted no desea conseguir todo líneas de Fenris en la consola de depuración, pero tal vez agradecería saber donde se detuvo. - Info x Muestra la información asociada con el nombre o la dirección x. En primer lugar, si x no es numérico, la dirección asociada a 'x' se resuelve, entonces, se obtiene información adicional sobre esta dirección. Esta información adicional es lo que sabe acerca de la dirección de Fenris - nombre asociado, primera vista, última modificación, tamaño. - Fdinfo x Muestra lo que sabe Fenris sobre el archivo descriptor x. Esto normalmente incluye el archivo / socket asociado y primer registro vista. - Romper x Establece un punto de interrupción en la dirección x. Nota: Los puntos de interrupción se ignoran dentro libc, a excepción de que están siendo establecidos en el comienzo de una libcall. De esta manera, usted puede breakpoint en 'printf', pero es generalmente inútil para establecer un punto de interrupción en, por ejemplo, printf 10. En esta situación, "el paso" continuará hasta el código de la biblioteca es la izquierda, todos los demás comandos afectarán al código que llamó a esta función de la biblioteca, y no la propia función (por lo que "abajo" continuaría hasta que se recupere la función locales subyacentes, y así sucesivamente). Si puede evitarlo, no establecer puntos de interrupción dentro de libc :-) Si no, trate de hacer poco más que "un paso" para volver a donde fue llamado. - Sbreak x Establece un punto de interrupción en syscall x (x puede ser cualquier valor numérico o un nombre simbólico). Se generará trampa Breakpoint cuando este syscall especial

235

Traducido por Sykrayo España

se llama. Si este punto de trampa se genera dentro de libc, especial interrupción normas mencionadas anteriormente (por "break") se aplican. El mejor uso para este tipo de punto de interrupción es clon de gancho, vfork y tenedor, por lo que siempre puede reaccionar a ellos antes de que se están ejecutando. Aegir, en su forma actual, es capaz de rastrear un solo proceso a la vez, así que es probable que desee sobrescribir tenedor () s y mover un valor deseado en% eax elegir una rama u otra. - Ibreak x

236

Traducido por Sykrayo España

Establece un punto de interrupción en la señal x (x puede ser cualquier valor numérico o un nombre simbólico). Trampa de punto de interrupción se genera cuando se entrega esta señal particular. Tenga en cuenta que la acción predeterminada para Fenris no es dete en las señales a menos que quiera, que es diferente de gdb. ner Las señales se pueden entregar en cualquier parte, y las normas especiales para el código libc aplican. - Rwatch extremo inicial Establece un punto de observación en el acceso de lectura a la zona de memoria de inicio del ejercicio. Trampa de punto de interrupción se generará el syscall, conocido haberlas conocido función de biblioteca o cualquier código local está intentando tener acceso a la memoria. Fenris no rastrea el interior libcalls, libcalls lo desconocido con el acceso de memoria no se informaron (si se pasa el puntero como parámetro y se detecta automáticamente, se considerará "leer" de todos modos). Esto, en general, puede ser un problema. Sólo hay una forma razonable de resolverlo, es decir, la aplicación más libcalls en Fenris. Otro cuestión importante es que cuando un parámetro se pasa a algunos función de biblioteca, esto se notifica como una lectura de cuatro primeros bytes del parámetro. Por favor considerar la biblioteca de lectura y escritura informar sólo un toque - Fenris no rastrea físicamente este código, y hace ciertas suposiciones. Para muchas funciones, es imposible determinar la cantidad de datos se suele leer o escribir (piense "scanf", por ejemplo), y Fenris no tratar de hacer los números. - Wwatch extremo inicial Establece un punto de observación en el acceso de escritura al área de memoria de inicio del ejercicio. Trampa de punto de interrupción se generará si alguna syscall conocido, la función de biblioteca de prestigio o de cualquier código local está tratando de escribir la memoria. Fenris no rastrea el interior libcalls, no se informó libcalls tan desconocido memoria escrito (a menos que, por ejemplo, se modifica directamente por una syscall este libcall o tales). llamada de Esto, en general, puede ser un problema. Sólo hay una forma razonable de resolverlo, es decir, la aplicación más libcalls en Fenris. Otra cuestión importante es que cuando un parámetro se pasa a alguna función de biblioteca, esto se notifica como una escritura primero de cuatro bytes del parámetro. Por favor considerar la biblioteca de lectura y escritura informar sólo un toque - Fenris no rastrea físicamente este código, y hace ciertos supuestos. Para muchas funciones, es imposible determinar la cantidad de datos se suele leer o escribir (piense "scanf", por ejemplo), Fenris y no tratar de hacer los números. - El paso [x] Haga uno o más de los pasos individuales x el código, tenga en cuenta que las

231

Traducido por Sykrayo España

funciones libcall se consideran un solo paso. Consulte las notas de - Ret [x]

"Romper".

Continúe con el siguiente o x-th RET en el código. Tenga en cuenta que este comando no tendrá en cuenta el código de la biblioteca. - Libc

232

Traducido por Sykrayo España

Continúe con el siguiente libcall. Tenga en cuenta que libcalls llamados desde libcalls son ignorados por Fenris. - Sistema Continúe con el siguiente syscall. Puede terminar en código de la biblioteca, ver las notas de "break". - Llamar Continuar a la siguiente llamada a la función local. - Down Continúe hasta que el código deja la función actual. Esto es diferente de "ret", como ret puede occour en una función llamada de función actual antes de la función propia corriente alcanza RET. Este Fenris comando utiliza el nivel de jerarquía capacidades de seguimiento para detener el programa. - La próxima Continuar a la siguiente entidad de salida de Fenris. Esto es útil para la depuración de línea por línea, y es diferente de "paso". - Ejecutar Continuar la ejecución hasta el próximo punto de interrupción (o hasta que el programa se cierra). Una vez más, tenga en cuenta que las señales no el programa interrumpen menos que haya utilizado "ibreak". - Parada Programa para dejar tan pronto como sea posible. Esto normalmente se realiza tan pronto como el control vuelve al espacio de usuario ("stop" no abortará llamadas al sistema de bloqueo). - Detener Programa de parar ahora. Esto volverá a bloquear syscalls abortar ellos (y puede causar problemas, al igual que Ctrl-C en gdb). - Fprint x Código de huella digital en la dirección x. Fenris devuelve una firma y nombres coincidentes para la función en esta dirección. Esto se hace en el lado Fenris por lo que se compara con la base de datos de huellas dactilares cargado actualmente, asegurando que los resultados son coherentes con las huellas dactilares automática. - X y [z] Muestra la memoria en la hexadecimal. Si no se da muestran 16 bytes, de lo especificar la longitud. dirección, como hex y 16 dirección 'y' como un volcado ningún tercer parámetro, primero se contrario, z se utiliza para El formato es muy simple: la línea. caracteres imprimibles por

233

Traducido por Sykrayo España

16 bytes Tenga en cuenta que este comando se llama con un solo parámetro en nc-aegir va a cambiar la vista de la ventana en lugar de mostrar en la consola de datos. - Y x

234

Traducido por Sykrayo España

Muestra una cadena (más precisamente, sus primeros 128 bytes), a partir de la dirección x. - Setreg y nnn Establece registro de propósito general 'nnn' con el valor y. No todos los registros se pueden ajustar con ptrace (). - Setmem x y Establece byte de memoria en la dirección x con valor y. - Lista Lista todos los puntos de observación y puntos de interrupción, y sus números de identificación. - Del x Elimina un punto de interrupción o punto de observación con ID x. - Memmap [No implementado en 0.04b] Muestra mapa de memoria - todos los objetos que son conocidos, junto con la información acerca de ellos. - Fdmap [No implementado en 0.04b] Muestra todos los descriptores de archivos conocidos con descripciones breves. - Fnmap [no implementado en 0.04b] Muestra todas las funciones locales conocidos. - Señales Muestra controladores para todas las señales. - Xxx carga Carga un módulo de "xxx". Los módulos se pueden utilizar para implementar funcionalidad personalizada de Aegir, ver doc / debugapi.txt para más información. - Ejecutivo xxx Ejecutar un comando shell 'xxx'. - Log [x] Un comando disponible sólo en nc-aegir. Dado que la salida Fenris se hace un túnel directamente a una de las ventanas ncaegir, si desea crear una copia de estos datos, usted tiene que utilizar este comando. Para iniciar el registro en un archivo nuevo, escriba "log / ruta / al / log". Para detener el registro, escriba "log" sin parámetros. - Help Obtenga ayuda.

235

Traducido por Sykrayo España

- Dejar de fumar si Terminar la sesión (se puede abreviar como "qy 'por conveniencia).

236

Traducido por Sykrayo España

Todos los comandos pueden abreviarse siempre y cuando no sean ambiguo. No hay paso a paso introducción al uso de Aegir, porque se supone que los usuarios tienen algún fondo con gdb, el lenguaje ensamblador, y la depuración en general, y creo que la referencia de comandos anterior y una muestra de "sesión de demostración" discutidos anteriormente son más que suficientes para empezar.

237

Traducido por Sykrayo España

lugar: Carve archivos basados en encabezado y pie de página. Desarrollado por Jesse Kornblum y Kris Kendall desde los Estados Unidos Oficina de la Fuerza Aérea de los Estados de Investigaciones Especiales y el Centro de Estudios de Seguridad de Sistemas de Información e Investigación. Disponible desde http://foremost.sourceforge.net/ La más importante es un programa de consola para recuperar archivos basados en sus encabezados, pies de página, y las estructuras de datos internas. Este proceso se conoce comúnmente como talla de los datos. Foremost puede trabajar en archivos de imágenes, como los generados por dd, SafeBack, Encajar, etc, o directamente en una unidad. Los encabezados y pies de página se pueden especificar un archivo de configuración o puede utilizar modificadores de línea de comandos para especificar una función de los tipos de archivo. Estos tipos incorporados miran las estructuras de datos de un formato de archivo determinado que permite una recuperación más fiable y más rápido (Kornblum, 2006). La página del manual se presenta a continuación es de http://foremost.sourceforge.net / foremost.html NOMB RE todo - Recuperar archivos con sus encabezados, pies de página y estructuras de datos SINOPSIS todo [-h] [-V] [-d] [-vqwQT] [-b <blocksize>] [-o <dir>] [-T <tipo>] [-s <num>] [-i <archivo>] FORMATOS DE INTERNAS Recuperar archivos de una imagen de disco sobre la base de tipos de archivos especificadas por el usuario usando el modificador-t de. jpg Apoyo a los formatos JFIF y Exif incluidas las implementaciones utilizados en las cámaras digitales modernas.

gif png bmp Soporte para el formato BMP de Windows. avi mpg Apoyo a más de MPEG (debe comenzar con 0x000001BA) exe Ejecutables de Windows PE (también extractos tiempo de compilación para archivos de auditoría) rar wav riff Esto extraerá AVI y RIFF ya que utilizan el mismo formato de archivo (RIFF). cuenta más rápido que corriendo cada uno por separado. wmv Nota También puede extraer-wma archivos que tengan formato similar. mov pdf viejo Esto grabar cualquier archivo utilizando la estructura de archivos OLE. Esto incluye PowerPoint, Word, Excel, Access y StarWriter doctor Tenga en cuenta que es más eficiente para ejecutar OLE que se obtiene más por su dinero. Si desea ignorar todos los otros archivos ole luego usar esto. Cremallera Nota se extraerá. Jar así porque utilizan un formato similar. Abrir documentos 238

Traducido por Sykrayo España

de Office son sólo con cremallera archivos XML para que se extraen también. Estos incluyen SXW, SXC, SXI y SX? para los archivos de OpenOffice indeterminados. htm cpp Detección de código fuente en C, cuenta que es primitivo y puede generar documentos distintos de código C.

239

Traducido por Sykrayo España

todoEjecutar todos los métodos de extracción predefinidos. [Por defecto si no se especificat] DESCRIPCIÓN Recuperar archivos de una imagen de disco basado en encabezados y pies de página especificados por el usuario. -H -V -D Unix. -T Muestra una pantalla de ayuda y sale. Mostrar información de copyright y de salida. Activar la detección bloque indirecto, esto funciona bien para sistemas de archivos

Tiempo estampar el directorio de salida por lo que no tiene que borrar el directorio de salida cuando se ejecutan varias veces. -V Habilita el modo detallado. Esto causa más información sobre el estado actual del programa que se mostrará en la pantalla, y es muy recomendable. -Q Habilita el modo rápido. En el modo rápido, sólo el comienzo de cada sector se busca a juego cabeceras. Es decir, la cabecera se busca sólo hasta la longitud de la cabecera más larga. El resto del sector, por lo general alrededor de 500 bytes, se ignora. Este modo hace que todo funcione mucho más rápido, pero puede hacer que usted pierda los archivos que están incrustados en otros archivos. Por ejemplo, usingquick modo en el que no será capaz de encontrar imágenes JPEG incrustados en documentos de Microsoft Word. Modo rápido no se debe utilizar cuando se examinan los sistemas de archivos NTFS. Porque NTFS almacenará pequeños archivos dentro de la tabla maestra de archivos, estos archivos se perdieron durante el modo rápido. -Q Activa el modo silencioso. Serán suprimidos mayoría de los mensajes de error. -W Permite escribir la auditoría sólo se extraerán los archivos mode.No. -Un Permite escribir todas las cabeceras, realice ninguna detección de errores en cuanto a los archivos dañados. exp edi -B número Permite especificar el tamaño del bloque utilizado en todo. Esto es ent relevante para nombrar y búsquedas rápidas. El valor predeterminado es 512. e es decir. todo-b 1024 image.dd -K número Permite especificar el tamaño del fragmento utilizado en todo. Esto puede mejorar la velocidad si tiene suficiente RAM para adaptarse a la in.It imagen reduce la corriente que se produce entre los trozos de la memoria intermedia. Por ejemplo, si tiene> 500 MB de RAM. es decir. todo-k 500 image.dd -I expediente El archivo se utiliza como el archivo de entrada. Si no se especifica un archivo de entrada o el archivo de entrada no se puede leer a continuación, se utiliza la entrada estándar. -O directorio Los archivos recuperados se guardan en el directorio directorio. -C Establece el archivo de configuración para usar. Si no se especifica ninguno, se exped utiliza el archivo "foremost.conf" en el directorio actual, si es que no existe "/ etc / iente foremost.conf" se utiliza. El formato del archivo de configuración se describe en el valor por defecto archivo de configuración incluido con este programa. Vea el archivo de configuración a continuación para obtener más información. -S número Omite bloques de números en el archivo de entrada antes de comenzar la búsqueda de cabeceras. es decir. todo-s 512-t jpeg-i / dev/hda1 240

Traducido por Sykrayo España

ARCHIVO DE CONFIGURACIÓN El archivo de configuración se utiliza para controlar qué tipos de archivos busca más importantes para. Un archivo de configuración de ejemplo, foremost.conf, se incluye en esta distribución. Para cada tipo de archivo, el archivo de configuración describe la extensión del archivo, si el encabezado y pie de página entre mayúsculas y minúsculas, el tamaño máximo de archivo, y el encabezado y pie de página para el archivo. El campo de pie de página es opcional, pero cabecera, tamaño, sensibilidad a las mayúsculas, y la extensión no son! Cualquier línea que comienza con un signo se considera un comentario y se ignora. Por lo tanto, se puede omitir un tipo de archivo sólo hay que poner un signo al principio de la línea.

241

Traducido por Sykrayo España

Los encabezados y pies de página son decodificadas antes de su uso. Para especificar un valor de uso hexadecimal \ x [0 - f] [0-f], y para el uso octal \ [1-9] [1-9] [1-9]. Los espacios pueden ser representados por \ s. Ejemplo: "\ X4F \ 123 \ I \ SCCI" decodifica a "OSI CCI". Para hacer coincidir cualquier carácter individual (también conocido como un comodín) usar una?. Si usted necesita para buscar el? carácter, tendrá que cambiar la línea de comodín * y * todas las apariciones del carácter comodín de edad en el archivo de configuración. No te olvides de los hexagonal y valores octales! ? es igual a \ X3F y \ 063. EJEMPLOS Búsqueda de formato jpeg saltarse los primeros 100 bloques todo-s 100-t jpg-i image.dd Sólo generará un archivo de auditoría, e imprimir a la pantalla (modo detallado) todo-av image.dd Buscar en todos los tipos definidos todo-t all-i image.dd Buscar gif y pdf todo-t gif, pdf-i image.dd Búsqueda de documentos de oficina y archivos jpeg en un sistema de archivos de Unix en modo detallado. todo-v-t ole, jpeg-i image.dd Ejecutar el caso por defecto todo image.dd

242

Traducido por Sykrayo España

ftimes: Un conjunto de herramientas para la adquisición de datos forenses. Desarrollado por Klayton Monroe. Disponible desde http://ftimes.sourceforge.net / FTimes / Lo siguiente es de http://ftimes.sourceforge.net / FTimes / FTimes es un sistema de línea de base y la herramienta de recopilación de pruebas. El propósito principal de FTimes es reunir y / o el desarrollo de la información acerca de los directorios y archivos especificados en modo que favorezcan el análisis de intrusión. FTimes es una herramienta ligera en el sentido de que no tiene por qué ser "instalado" en un sistema dado para trabajar en ese sistema, que es lo suficientemente pequeño como para caber en un floppy, y sólo proporciona una interfaz de línea de comandos. Preservar los registros de toda la actividad que se produce durante una instantánea es importante para el análisis de la intrusión y la admisibilidad pruebas. Por esta razón, FTimes fue diseñado para registrar cuatro tipos de información: los valores de configuración, los indicadores de progreso, métricas, y los errores. De salida producida por FTimes es de texto delimitado, y por lo tanto, es fácilmente asimilable por una amplia variedad de herramientas existentes. FTimes básicamente implementa dos funciones generales: topografía de archivo y búsqueda de cadenas. Topografía del archivo es el proceso de asignar atributos clave de los directorios y archivos en un sistema de archivos determinado. Cadena de búsqueda es el proceso de excavar a través de los directorios y archivos en un sistema de archivos determinado en la búsqueda de una secuencia específica de bytes. Respectivamente, estas capacidades se denominan como modo de mapa y el modo de excavación. FTimes admite dos entornos operativos: banco de trabajo y cliente-servidor. En el entorno de trabajo, el operador utiliza FTimes hacer cosas tales como examinar las pruebas (por ejemplo, una imagen de disco o los archivos de un sistema comprometido), analizar las instantáneas para el cambio, la búsqueda de los archivos que tienen los atributos específicos, verificar la integridad del archivo, y así sucesivamente . En el entorno cliente-servidor, el foco se desplaza de lo que el operador puede hacer a nivel local de forma que el operador puede controlar de manera eficiente, manejar y datos de la instantánea agregados para muchos hosts. En el entorno cliente-servidor, el objetivo principal es mover los datos recogidos desde el host a un sistema centralizado, conocido como un servidor Integrity, de una manera segura y autenticada. Un servidor Integrity es un sistema endurecido que se ha configurado para manejar FTimes GET, PING y peticiones HTTP / S PUT. Lo siguiente es de http://ftimes.sourceforge.net/FTimes/ManPage.shtml NOMBRE ftimes - Un sistema de línea de base y la herramienta de recopilación de pruebas.

SINOPSIS ftimes - modo de archivo cfgtest [-s] 243

Traducido por Sykrayo España

ftimes - comparar máscara instantánea de referencia [nivel-l] ftimes - decodificador instantánea [nivel-l]

244

Traducido por Sykrayo España

ftimes - digauto archivo [nivel-l] [list] ftimes - archivo digfull [-l nivel] [list] ftimes - archivo diglean [-l nivel] [list] ftimes - getMode archivo [nivel-l] ftimes - mapauto máscara [-l nivel] [list] ftimes - archivo mapfull [-l nivel] [list] ftimes - archivo maplean [-l nivel] [list] ftimes - putmode archivo [nivel-l] ftimes - versión

DESCRIPCIÓN FTimes es un sistema de línea de base y la herramienta de recopilación de pruebas. El propósito principal de FTimes es reunir y / o el desarrollo de la información acerca de los directorios y archivos especificados en modo que favorezcan el análisis de intrusión. FTimes es una herramienta ligera en el sentido de que no necesita ser ``'' instalado en un sistema dado a trabajar en ese sistema, que es lo suficientemente pequeño como para caber en un floppy, y proporciona sólo una interfaz de línea de comandos. Preservar los registros de toda la actividad que se produce durante una instantánea es importante para el análisis de la intrusión y la admisibilidad pruebas. Por esta razón, FTimes fue diseñado para registrar cuatro tipos de información: los valores de configuración, los indicadores de progreso, métricas, y los errores. De salida producida por FTimes es de texto delimitado, y por lo tanto, es fácilmente asimilable por una amplia variedad de herramientas existentes. FTimes básicamente implementa dos funciones generales: topografía archivo y búsqueda de cadenas. Topografía del archivo es el proceso de asignar atributos clave de los directorios y archivos en un sistema de archivos determinado. Cadena de búsqueda es el proceso de excavar a través de los directorios y archivos en un sistema de archivos determinado en la búsqueda de una secuencia específica de bytes. Respectivamente, estas capacidades se denominan como modo de mapa y el modo de excavación. FTimes admite dos entornos operativos: banco de trabajo y cliente-servidor. En el entorno de trabajo, el operador utiliza FTimes hacer cosas tales como examinar las pruebas (por ejemplo, una imagen de disco o los archivos de un sistema comprometido), analizar las instantáneas para el cambio, la búsqueda de los archivos que tienen los atributos específicos, verificar la integridad del archivo, y así sucesivamente . En el entorno cliente-servidor, el foco se desplaza de lo que el operador puede hacer a nivel local de forma que el operador puede controlar de manera eficiente, manejar y datos de la instantánea agregados para muchos hosts. En el entorno cliente-servidor, el objetivo principal es mover los datos recogidos desde el host a un sistema centralizado, conocido como un servidor Integrity, de una manera segura y autenticada. Un servidor Integrity es un endurecido 245

Traducido por Sykrayo España

sistema que ha sido configurado para manejar FTimes GET, PING y peticiones HTTP / S PUT. La distribución FTimes contiene un script llamado NPH-ftimes.cgi que puede ser utilizado en conjunción con un servidor Web para implementar una interfaz pública Integridad del servidor. Temas más profundos como la construcción y la mecánica interna de un servidor de integridad no se abordan en este documento.

246

Traducido por Sykrayo España

FTimes ofrece varios modos de funcionamiento que, o bien poner en práctica sus capacidades básicas o apoyar de alguna manera. Estos modos se describen en los modos de la sección Funcionamiento de este documento y se resumen aquí:
• • • • • • • • • • • •

cfgtest - compruebe la sintaxis del archivo de configuración de un archivo y el modo determinado comparar - comparar dos instantáneas del mapa para detectar cambios decodificador - decodificar un mapa instantánea comprimida digauto - buscar las cadenas en archivos con una configuración por defecto digfull - buscar las cadenas en los archivos utilizando una configuración específica diglean - igual que digfull excepto que el rango de los controles es limitado y la salida se puede escribir directamente a std {err, a} getMode - descargar un archivo de configuración de un servidor Integrity mapauto - recopilar directorio y atributos de archivo utilizando una configuración predeterminada mapfull - recopilar directorio y atributos de archivo usando una configuración especificada maplean - igual que mapfull excepto que el rango de los controles es limitado y la salida se puede escribir directamente a std {err, a} putmode - Subir una excavación o el mapa de instantáneas en un servidor Integrity version - versión de información y visualización de salida

FTimes También tiene muchos controles que determinan la forma en que se ejecutará. Algunos modos soportan muy pocos controles, mientras que otros apoyan unos cuantos. La siguiente tabla resume los controles que se aplican a cada modo de funcionamiento. Una "X" indica que el control dada se aplica al modo seleccionado.
========== MODOS ========== c c d d d g m m m p v F o yo yo yo e un un un u e g m g g g t p p p t r t p un F l m un F l m s e un u u e o u u e o y s r t l un d t l un d o t e o l n e o l n e n ====== CONTROL DE =============================== AnalyzeBlockSize . . . X X . . X X . . AnalyzeCarrySize . . . X X . . . . . . AnalyzeDeviceFiles . . . X X . . X X . . AnalyzeRemoteFiles . . . X X . . X X . . BaseName . . . X X X . X X X . BaseNameSuffix . . . X X . . X X . . Comprimir . . . . . . . X X . . DataType . . . . . . . . . X . DateTime . . . . . . . . . X . DigString . . X X X . . . . . . DigStringNoCase . . X X X . . . . . . DigStringNormal . . X X X . . . . . . DigStringRegExp . . X X X . . . . . . EnableRecursion . . . X X . . X X . . Excluir . . . X X . . X X . . ExcludesMustExist . . . X X . . X X . . FieldMask . X . . . . X X X X . FileSizeLimit . . . X X . . X X . . GetAndExec . . . . . X . . . . . GetFileName . . . . . X . . . . . HashDirectories . . . . . . . X X . . HashSymbolicLinks . . . . . . . X X . . Importar . . . X X X . X X X .

247

Traducido por Sykrayo España

Incluir

.

.

.

X

X

.

.

X

X

.

.

248

Traducido por Sykrayo España

IncludesMustExist. . . X X. . X X. . LogDir. . . X X. . X X. . LogFileName. . . . . . . . . X. MagicFile ....... XX .. MapRemoteFiles. . . X X. . X X. . MatchLimit. . . X X. . . . . . NewLine. . . X X. . X X. . OutDir. . . X X. . X X. . OutFileHash. . . . . . . . . X. Outfilename. . . . . . . . . X. RequirePrivilege. . . X X. . X X. . RUNTYPE. . . X. . . X. X. SSLBundledCAsFile. . . X. X. X. X. SSLExpectedPeerCN. . . X. X. X. X. SSLMaxChainLength. . . X. X. X. X. SSLPassPhrase. . . X. X. X. X. SSLPrivateKeyFile. . . X. X. X. X. SSLPublicCertFile. . . X. X. X. X. SSLUseCertificate. . . X. X. X. X. SSLVerifyPeerCert. . . X. X. X. X. URLAuthType ... X.X.X . X. URLCreateConfig. . . X. . . X. . . URLGetRequest. . . . . X. . . . . URLGetURL. . . . . X. . . . . URLPassword. . . X. X. X. X. URLPutSnapshot. . . X. . . X. . . URLPutURL. . . X. . . X. X. URLUnlinkOutput. . . X. . . X. . . URLUsername. . . X. X. X. X.

MODOS DE FUNCIONAMIENTO Los modos de operación descritos en esta sección son mutuamente excluyentes. En otras palabras, sólo un modo puede ser especificado por invocación. A menos que se indique lo contrario, el valor de la línea de base, instantánea y archivos argumentos pueden ser el nombre de un archivo normal o '-'. Si se da esta última forma, FTimes espera leer el equivalente de entrada de la entrada estándar. Tenga en cuenta, sin embargo, que los argumentos de línea de base y la instantánea no puede ser "-" simultáneamente. Los elementos y las reglas de sintaxis para los archivos de configuración se describen en la sección de controles de configuración de este documento. La opción de nivel se describe en la sección Opciones de este documento. La opción de la lista especifica uno o más directorios, archivos o enlaces simbólicos que se van a analizar. En conjunto, estos elementos representan una lista de inclusión. Ver el control Include para más información.
- Cfgtest {archivo | -} modo [-s]

Compruebe la sintaxis del archivo de configuración dado en el contexto de un modo específico en que modo puede ser uno de: digauto, digfull, diglean, getMode, mapfull, maplean o putmode. La propuesta archivo de configuración se analiza con los mismos métodos que se utilizarían si FTimes habían sido invocados en ese modo de ejecución particular. De forma predeterminada, los directorios y los archivos no se comprueba su existencia. Esto permite que los ficheros de configuración que se probarán en un entorno distinto al de donde van a ser utilizados. Pruebas estrictas (Es decir, los directorios y los archivos deben existir) puede ser activada con la opción-s. El valor 'Sintaxis Pasado' se escribe en la salida estándar, si se cumplen todas las comprobaciones de sintaxis. De lo contrario, el valor 'Error de sintaxis y de una descripción de la falla se graba en la salida estándar.

249

Traducido por Sykrayo España

Nota: El hecho de que un determinado archivo pasa todas las comprobaciones de sintaxis no garantiza que su uso va a dar lugar a un resultado exitoso. Simplemente asegura que los controles indicados son válidos para un modo determinado, y los valores de los controles cumplen con los requisitos básicos de sintaxis.
- Comparar la máscara {inicio | -} {snapshot | -} [nivel-l]

Comparar los datos de referencia y la imagen de acuerdo con la máscara especificada en la máscara identifica los atributos para ser analizados. Salida se escribe en la salida estándar y tiene el siguiente formato:
Categoría | Nombre | Cambios | desconocido

El campo de categoría indica qué tipo de cambio se ha producido. Puede tener uno de los siguientes valores:
C El cambio de M - Missing N - New U - Unknown (es decir, uno o ambos campos eran NULL) X - Cross (es decir, cambiado y desconocido)

El campo modificado contiene una lista separada por comas de los campos que han cambiado. Este campo será NULL si la categoría es nueva o desaparecidos. El campo desconocido contiene una lista separada por comas de los campos que no se podría comparar debido a la falta de información. Este campo será NULL si la categoría es nueva o falta. La máscara especificada debe cumplir con las reglas de sintaxis establecidas para el control FieldMask. Nota: Los argumentos de línea de base y la instantánea no puede ser "-" simultáneamente.
- Decodificador {snapshot | -} [nivel-l]

Decodificar una instantánea comprimida. Una instantánea comprimida se puede crear mediante la ejecución FTimes en modo mapa (es decir, mapfull o maplean) con Comprimir habilitado. La salida se escribe en stdout.
- Digauto {archivo | -} [nivel-l] [list]

Utilice los ajustes de configuración predeterminados para buscar una lista de inclusión de un conjunto de cadenas definidas por el usuario. Estas cadenas se definen en el archivo de acuerdo a la sintaxis de los controles DigStringNormal, DigStringNoCase y DigStringRegExp. Si no se especifica la lista, FTimes buscará todo el sistema, incluyendo acciones remotas o puntos de 250

Traducido por Sykrayo España

montaje. Los archivos de dispositivos específicamente incluidos en la lista se buscará (es decir, AnalyzeDeviceFiles siempre está activada en este modo de operación). Salida se escribe en la salida estándar y tiene el siguiente formato.
Nombre | Tipo | offset | string

El campo de desplazamiento, representado como un valor decimal, contiene la ubicación en el archivo identificado por su nombre, donde se encontró la cadena especificada.
- Digfull {archivo | -} [nivel-l] [list]

251

Traducido por Sykrayo España

Utilice las opciones de configuración en el archivo para buscar una lista de inclusión de un conjunto de cadenas definidas por el usuario. La lista Include puede ser especificado por una combinación de incluir controles y los argumentos de la lista. Si no se especifica una lista de inclusión, FTimes buscará todo el sistema. Acciones a distancia o puntos de montaje sólo se buscará si AnalyzeRemoteFiles está habilitada. Los archivos de dispositivos específicamente incluidos en la lista sólo se buscará si AnalyzeDeviceFiles está habilitada.
- Diglean {archivo | -} [nivel-l] [list]

Utilice las opciones de configuración en el archivo para buscar una lista de inclusión de un conjunto de cadenas definidas por el usuario. La lista Include puede ser especificado por una combinación de incluir controles y los argumentos de la lista. Si no se especifica una lista de inclusión, FTimes buscará todo el sistema. Acciones a distancia o puntos de montaje sólo se buscará si AnalyzeRemoteFiles está habilitada. Los archivos de dispositivos específicamente incluidos en la lista sólo se buscará si AnalyzeDeviceFiles está habilitada. La diferencia entre este modo y - digfull es que menos controles se definen / disponibles y salida se pueden escribir directamente a std {err, a}.
- GetMode {archivo | -}

Utilice las opciones de configuración en el archivo para descargar digfull, diglean, mapfull, o la información de configuración maplean. Una de las tres acciones posibles, dependiendo de cómo esté configurado getMode, tendrá lugar una vez finalizada la descarga:
• • •

FTimes escribe la información descargada a la salida estándar, FTimes escribe la información descargada en el archivo especificado por GetFileName o FTimes reinicia en digfull, diglean, mapfull o maplean utilizar la información descargada como su nuevo archivo de configuración

La primera acción se efectúa cuando GetAndExec está desactivado y no se especifica GetFileName. La segunda acción se efectúa cuando GetAndExec se desactiva y se especifica GetFileName. La tercera acción se efectúa cuando GetAndExec está activada y se especifica GetFileName.
- Máscara mapauto [nivel-l] [list]

Utilice los ajustes de configuración predeterminados para asignar una lista de inclusión de acuerdo con la máscara especificada en la máscara identifica los atributos que deben recogerse. Si no se especifica la lista, FTimes se asignarán la totalidad del sistema, incluyendo las acciones a distancia o puntos de montaje. Los archivos de dispositivos específicamente incluidos en la lista se asignarán (es decir, AnalyzeDeviceFiles siempre está activada en este modo de operación). La salida se escribe en la salida estándar, y su formato depende del valor de la máscara. La máscara especificada debe cumplir con las reglas de sintaxis establecidas para el control FieldMask.
- Mapfull {archivo | -} [nivel-l] [list]

Utilice los ajustes de configuración en el archivo para asignar una lista Incluir. La lista Include puede ser especificado por una combinación de incluir controles y los argumentos de la lista. Si no 252

Traducido por Sykrayo España

se especifica una lista de inclusión, FTimes se asignarán la totalidad del sistema. Acciones a distancia o puntos de montaje sólo se asignarán si AnalyzeRemoteFiles está habilitada. Los archivos de dispositivos específicamente incluidos en la lista sólo se asignarán si AnalyzeDeviceFiles está habilitada.
- Maplean {archivo | -} [nivel-l] [list]

253

Traducido por Sykrayo España

Utilice los ajustes de configuración en el archivo para asignar una lista Incluir. La lista Include puede ser especificado por una combinación de incluir controles y los argumentos de la lista. Si no se especifica una lista de inclusión, FTimes se asignarán la totalidad del sistema. Acciones a distancia o puntos de montaje sólo se asignarán si AnalyzeRemoteFiles está habilitada. Los archivos de dispositivos específicamente incluidos en la lista sólo se asignarán si AnalyzeDeviceFiles está habilitada. La diferencia entre este modo y - mapfull es que hay menos controles se definen / disponibles y salida se pueden escribir directamente a std {err, a}.
- Putmode {archivo | -} [nivel-l]

Utilice las opciones de configuración en el archivo para cargar una instantánea existente a un servidor Integrity configurado para recibir tal.
- Version

Muestra información de versión y sale.

OPCIONES
-L nivel

La opción LogLevel controla la cantidad de salida de registro. A medida que disminuye el nivel, la cantidad de la producción aumenta. El rango de valores que pueden ser asignados a nivel se indica a continuación. En los casos en que la recopilación de pruebas es de interés primordial, LogLevel debe ser superior a Landmark. El LogLevel predeterminada es Landmark.
6 5 4 3 2 1 0 Crítico No Advertencia Información Lugar de referencia Waypoint Debug

-S

Hacer cumplir estrictas pruebas. Para ello es necesario que existan los directorios y archivos específicos del sistema que ejecuta la prueba. Controles afectadas por esta opción son: LogDir, OutDir, SSLPublicCertFile, SSLPrivateKeyFile y SSLBundledCAsFile.

CONTROLES DE CONFIGURACIÓN En esta sección se describen los distintos controles que FTimes reconoce. En general, controla bien el comportamiento de tiempo de ejecución de forma o proporcionar la información necesaria por la solicitud para realizar una función específica. Controles y sus valores, un par / línea, se escriben en un archivo con el siguiente formato.
<control> = <valor>

254

Traducido por Sykrayo España

Todos los controles son sensibles a mayúsculas, pero, en general, sus valores no son. Los comentarios pueden aparecer en cualquier parte de una línea determinada, y deben comenzar con un carácter de almohadilla (es decir, '#'). En cualquier línea dada, se ignorará todo el texto a la derecha de la primera observación. Se ignoran los espacios en blanco que rodea los controles y valores.

DESCRIPCIÓN DE CONTROL En esta sección se describe cada control que se especifique, define cuáles son los valores que pueda tener, y afirma que los modos de operación reconoce el control.
AnalyzeBlockSize: [1-1048576]

Corresponde a digfull, diglean, mapfull y maplean. AnalyzeBlockSize es opcional. Se indica al motor de análisis a utilizar el tamaño de bloque especificado (en bytes) cuando la lectura y procesamiento de datos de archivo. El valor predeterminado para este control es 16384 (16 KB).
AnalyzeCarrySize: [1-1048576]

Corresponde a digfull, diglean. AnalyzeCarrySize es opcional. Se indica al motor de análisis para utilizar el tamaño de bloque especificado (en bytes) al guardar (o llevar) los datos de una operación de excavación a la siguiente. El valor predeterminado para este control es 1024 (1 KB). Nota: El valor de este control no debe exceder AnalyzeBlockSize, y debe ser igual o mayor que la longitud máxima de la cadena de las cadenas insenstive normal y caso. Si cualquiera de estas condiciones no se cumple, el programa abortará.
AnalyzeDeviceFiles: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. AnalyzeDeviceFiles es opcional. Cuando está activada ('Y' o 'y'), instruye FTimes para analizar los archivos de dispositivo de bloque / carácter que han sido incluidos específicamente por su nombre en la línea de comandos oa través de un include (por ejemplo, Incluir = / dev/ad0). Los archivos de dispositivo que se encuentran en un directorio incluido (por ejemplo, Incluir = / dev) no se analizan, simplemente porque su padre estaba incluido - debe llamar específicamente a cabo. Además, los archivos de dispositivos que se incluyeron específicamente se podan si sus padres o de cualquier directorio de nivel superior se incluyó también. El valor por defecto es 'N'. Nota: El análisis de los archivos de dispositivo de bloque / personaje puede llevar mucho tiempo o para siempre (por ejemplo, / dev / zero).
AnalyzeRemoteFiles: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. 255

Traducido por Sykrayo España

AnalyzeRemoteFiles es opcional. Cuando está activada ('Y' o 'y'), instruye FTimes de ignorar el hecho de que un determinado Incluir no reside en el sistema local. El resultado es que FTimes intentarán analizar archivos remotos. El valor por defecto es 'N'.

256

Traducido por Sykrayo España

Nota: El análisis de los sistemas de archivos remotos puede crear una gran cantidad de tráfico de red. Sólo recuerde que usted puede estar asignando un disco entero.
BaseName: <name|->

Corresponde a digfull, diglean, getMode, mapfull, maplean y putmode. BaseName se requiere. Especifica el nombre del prefijo que se adjuntará a los distintos archivos de salida. También sirve como parámetro clientid GET / PING / PUT solicitudes. El formato de nombre recomendado es el que coincide con la siguiente expresión regular:
^ [0-9A-Za-z_-] {1,64} $

Esto se debe a NPH-ftimes.cgi utiliza esa expresión para validar el parámetro clientid GET / PING / PUT solicitudes. Normalmente, nombre base y URLUsername serán los mismos cuando la autenticación básica está habilitada, pero esto no es un requisito. Si está utilizando FTimes en un modo de inclinación, una buena convención de nombres sería utilizar el nombre de host del sistema que está siendo baselined. Además, ambos modos magras permiten especificar un valor de nombre base "-". Esto hace FTimes para escribir su salida a stdout / stderr.
BaseNameSuffix: [datetime | ninguna | pid]

Corresponde a digfull, diglean, mapfull y maplean. BaseNameSuffix es opcional. En él se especifica el tipo de sufijo que se adjunta al nombre base. Si BaseNameSuffix se establece en fecha y hora, un sufijo con el siguiente formato se anexará al nombre base: YYYYMMDDHHMMSS. Si se establece en Ninguno, sin sufijo se añade, y si se establece en pid, el valor del identificador del proceso actual se anexa. El valor predeterminado es Ninguno.
Comprimir: [Y | N]

Corresponde a mapfull y maplean. Comprimir es opcional. Cuando está activada ('Y' o 'y'), se activa una forma de compresión sin pérdidas ASCII. Esto produce una relación de compresión que puede ser tan bueno como tres a uno. El valor por defecto es 'N'. Como nota al margen, comprimir comprimido instantáneas con un programa como gzip (1) produce una mejor compresión que si gzip (1) se utilizó solo en los mismos datos en su forma no comprimida.
Tipo de datos: [dig | mapa]

Corresponde a putmode. DataType se requiere. Representa el parámetro DATATYPE en peticiones PUT y especifica el tipo de datos publicados. 257

Traducido por Sykrayo España

DateTime: <AAAAMMDDHHMMSS>

Corresponde a putmode.

258

Traducido por Sykrayo España

DateTime se requiere. Su representa el parámetro DATETIME en peticiones PUT y especifica la fecha / hora de la instantánea que se registró.
DigString: <cadena>

Corresponde a digauto, digfull y diglean. DigString es un alias para DigStringNormal, y se está eliminando. Utilice DigStringNormal en su lugar.
DigStringNoCase: <cadena>

Corresponde a digauto, digfull y diglean. DigStringNoCase es necesario bajo condiciones. Especifica una cadena de búsqueda distingue mayúsculas y minúsculas. Esta cadena debe ser el URL codificada en la misma manera que una normal de DigString - referirse a la descripción de control para los detalles. Internamente, todos los caracteres alfabéticos (por ejemplo, [A-Za-z]) se convierten a minúsculas.
DigStringNormal: <cadena>

Corresponde a digauto, digfull y diglean. DigStringNormal es necesario bajo condiciones. Especifica una cadena de búsqueda. Esta cadena debe ser URL codificada si contiene '%', '+', '', o los caracteres no imprimibles. En caso de duda acerca de si un valor debe ser codificada, codificarlo. Para codificar un carácter, convertir su valor hexadecimal de acuerdo con el formato % HH donde H es un dígito hexadecimal. Los espacios pueden alternativamente ser codificados como '+'.
DigStringRegExp: <regexp>

Corresponde a digauto, digfull y diglean. DigStringRegExp es necesario bajo condiciones. Especifica una expresión regular compatible con Perl. A diferencia de las cadenas especificadas en los controles DigString y DigStringNoCase, esta cadena no debe ser URL codificada. Con los patrones DigStringRegExp, debe especificar no más de una captura de '()' sub-patrón. Usted puede usar '(? :) Si necesita paréntesis adicionales para fines de agrupación. Si no se especifica un sub-patrón de captura, se capturará todo el partido. Nota: Este control sólo está disponible si el soporte PCRE fue compilado en el binario. A partir de la versión 3.5.0, el apoyo PCRE está habilitado de forma predeterminada.
EnableRecursion: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. EnableRecursion es opcional. Cuando está activada ('Y' o 'y'), instruye FTimes para procesar recursivamente directorios. El valor por defecto es 'Y'. 247

Traducido por Sykrayo España

Excluir: [directorio | archivo | link]

Corresponde a digfull, diglean, mapfull y maplean.

248

Traducido por Sykrayo España

Excluir controles son opcionales, y no hay límite predefinido en el número que se haya especificado. Sin embargo, sólo puede haber un par de control / valor Excluir por línea. No es necesario excluir explícitamente los sistemas de archivos especiales tales como PROCFS como se FTimes detectar su presencia y excluir de forma automática. Excluir valores se deben especificar como ruta de acceso completa (ver control incluyen). Si ExcludesMustExist está habilitado, entonces cada Excluir debe hacer referencia a un archivo existente, directorio o enlace simbólico. De lo contrario, FTimes abortará. Nota: Los enlaces simbólicos no se admiten en los sistemas de archivos basados en Win32. Nota: El mecanismo de exlude funciona sobre una base de coincidencia exacta, pero se puede utilizar para producir un efecto recursivo. Por ejemplo, si incluye '/' y excluir '/ etc', y luego '/ etc' y nada por debajo no serán procesados. Sin embargo, si se incluyen '/ etc / hosts' y excluir '/ etc', y luego '/ etc / hosts' no serán procesadas porque el efecto recursivo no estaría en juego, y no hay excluye que coincide exactamente con ella.
ExcludesMustExist: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. ExcludesMustExist es opcional. Cuando está activada ('Y' o 'y'), instruye FTimes para comprobar la existencia de cada Excluir antes de la asignación o la excavación. Si se habilita este control y cualquier Excluir no existe, FTimes abortará. El valor por defecto es 'N'.
FieldMask: <máscara>

Aplica para comparar, mapauto, mapfull, maplean y putmode. FieldMask se requiere comparar. Su valor indica qué campos se van a comparar para el cambio. FieldMask se requiere en mapauto, mapfull y maplean. Su valor determina qué atributos quedan recogidos o derivados durante un análisis. FieldMask se requiere en putmode. Su valor indica qué campos se incluyen en los datos que se publican. No puede haber espacios en blanco incrustados en una especificación mascara dada, y debe cumplir con la siguiente sintaxis distingue mayúsculas y minúsculas:
TODO [<+ | -> <field> ...]

o
NINGUNO <+ | -> <field> [<+ | -> <field> ...]

Los siguientes campos se pueden especificar en plataformas Windows con dos salvedades: (1) chtime sólo está disponible en sistemas Windows NT/2K y (2) altstreams sólo está disponible si el sistema de archivos de destino es NTFS.
número de serie findex-archivo

249

Traducido por Sykrayo España

número de serie del volumenvolumen

250

Traducido por Sykrayo España

atributos - Los atributos de archivo atime en tiempo de último acceso al disco mtime en tiempo de la última vez ctimeCreación de modificación del archivo tiempo chtime-Change (indocumentado) tamaño tamaño-archivo en bytes altstreams - Número de secuencias alternativas o denominación sha1-SHA1 del archivo de secuencia de datos md5-MD5 de los datos de flujo de tipo mágico-archivo del archivo

Los siguientes campos se pueden especificar en plataformas UNIX:
dev - Número de identificación del dispositivo Número de identificación del archivo inodemodo de archivo atributos y permisos nlink-Número de enlaces duros identificación Número de identificación gid-Group número uid de usuario Tipo rdev-Device (contiene números mayor / menor) atime en tiempo de último acceso al disco mtime en tiempo de la última modificación del archivo ctime en tiempo del último cambio de estado del archivo -tamaño Tamaño de archivo en bytes sha1-SHA1 del archivo de secuencia de datos md5MD5 del flujo de datos de tipo mágico-archivo del archivo

FileSizeLimit: <entero>

Corresponde a digfull, diglean, mapfull y maplean. FileSizeLimit es opcional. Se indica al motor de análisis para omitir los archivos que son mayores que el límite de tamaño especificado. El valor por defecto es cero, lo que significa que no impone un límite.
GetAndExec: [y | n]

Corresponde getMode.

a

GetAndExec es opcional. Cuando está activada ('Y' o 'y'), hace que FTimes para iniciar una nueva instantánea una vez que la descarga se haya completado. Esto se logra a través de un exec () llamar. GetAndExec depende de GetFileName. El valor por defecto es 'N'. Nota: Tenga cuidado al especificar GetFileName. Si usted elige un lugar que se puede escribir por otros procedimientos, FTimes no puede leer el archivo de configuración usted pretende que lo haga. Es decir, algún otro proceso puede haber modificado o reemplazado el archivo del origianl. 251

Traducido por Sykrayo España

GetFileName: <archivo>

Corresponde a getMode.

252

Traducido por Sykrayo España

GetFileName es necesario si GetAndExec está habilitada. Su valor es el nombre del archivo en el que la información de configuración descargado se va a almacenar. GetFileName puede especificarse como una ruta relativa.
HashDirectories: [y | n]

Corresponde a mapfull y maplean. HashDirectories es opcional. Cuando está activada ('Y' o 'y'), instruye FTimes para calcular digiere para los directorios. Esto se hace mediante el hash resúmenes de todos los archivos y directorios contenidos en un directorio en el orden en que se encuentran. Por lo tanto, si un directorio tiene la siguiente estructura en la que D {1 | 2} y F {1 | 2} representan directorios y archivos, respectivamente,
D1 | - F1 + D2 | - F2

entonces, suponiendo que la F1 se asignan antes D2, D1 y D2 tienen los siguientes valores hash:
Hash (D2) = H (H (F2)) Hash (D1) = H (H (F1), Hash (D2))

donde H representa el algoritmo hash (por ejemplo, MD5, SHA1, etc). Si una entrada en el directorio es un archivo especial (por ejemplo, un dispositivo) o no se puede abrir / hash, una cadena de 16 bytes que consiste de todos los ceros se utiliza para el cálculo. El valor por defecto es 'N'.
HashSymbolicLinks: [y | n]

Corresponde a mapfull y maplean. HashSymbolicLinks es opcional. Cuando está activada ('Y' o 'y'), instruye FTimes para calcular digiere los enlaces simbólicos. Esto se hace mediante hash de los datos devueltos por readlink (). El valor predeterminado es 'Y'.
Import: <archivo>

Corresponde a digfull, diglean, mapfull, maplean, putmode y getMode. Importar es opcional. Cuando se especifica, las directrices que figuran en el archivo al que hace referencia este control se incluyen en la configuración actual. Varias instancias de este control se permite por archivo y recursividad se permite hasta tres niveles de profundidad. Las importaciones pueden ser especificados usando una ruta relativa. 250

Traducido por Sykrayo España

Incluya: [directorio | archivo | link]

Corresponde a digfull, diglean, mapfull y maplean.

251

Traducido por Sykrayo España

Incluir controles son opcionales, y no hay límite predefinido en el número que se haya especificado. Sin embargo, no puede haber un solo incluyen el control / valor par por línea. Si no se especifican controles incluyen, FTimes intentarán trazar todo el sistema. Si IncludesMustExist está habilitado, entonces cada Incluir debe hacer referencia a un archivo existente, directorio o enlace simbólico. De lo contrario, FTimes abortará. Incluir Los valores deben ser un archivo regular, directorio o enlace simbólico especificado como ruta de acceso completa. Para sistemas de archivos Win32, esto significa que cada Incluir debe comenzar con un designador de unidad ([A-Za-z] :) y seguir por la ruta de destino (por ejemplo, "c: \ temp"). Para sistemas de archivos UNIX, cada Incluir debe comenzar con una barra inclinada (por ejemplo, '/ tmp'). Nota: Los enlaces simbólicos no se admiten en los sistemas de archivos basados en Win32. Nota: Tenga cuidado al incluir sistemas de archivos que residen en recursos compartidos remotos porque FTimes pueden intentar asignarlos. Para evitar que esto suceda, puede excluir el sistema de archivos remoto o desactivar AnalyzeRemoteFiles. Nota: hashing Directory sólo se aplica a los directorios. Esto significa que cada archivo de inclusión es tratado como un objeto aislado, aparte de cualquier árbol específico. La excepción a esto es cualquier Incluir que consigue podado automáticamente porque es parte de una rama grande.
IncludesMustExist: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. IncludesMustExist es opcional. Cuando está activada ('Y' o 'y'), instruye FTimes para comprobar que cada Include existe antes que la cartografía o la excavación. Si se habilita este control y cualquier Include no existe, FTimes abortará. El valor por defecto es 'N'.
LogDir: <directorio>

Corresponde a digfull, diglean, mapfull y maplean. LogDir es opcional. Cuenta FTimes dónde escribir datos de registro. Si no se especifica, el valor de OutDir se utilizará como valor para LogDir. LogDir puede especificarse como una ruta relativa.
LogFileName: <archivo>

Corresponde a putmode. LogFileName se requiere. Su valor es el nombre del archivo de registro para ser publicado. LogFileName debe especificarse como una ruta completa.
MagicFile: <archivo>

Corresponde a mapfull y maplean. MagicFile es opcional. Si el campo magia en FieldMask se establece y referencias MagicFile un archivo XMagic válida, FTimes intenta determinar el tipo de cada archivo se asigna. Si el campo de 252

Traducido por Sykrayo España

la magia no está definida, se ignora este control. MagicFile puede especificarse como una ruta relativa.

253

Traducido por Sykrayo España

Nota: XMagic no está integrado en FTimes por defecto. Si su versión de FTimes no tiene se solicita esta ayuda y el campo de la magia, FTimes producirán campos nulos. Nota: XMagic se desactiva automáticamente si la compresión está activada.
MapRemoteFiles: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. MapRemoteFiles es un alias para AnalyzeRemoteFiles, y se está eliminando. Por favor, use AnalyzeRemoteFiles en su lugar.
MatchLimit: <entero>

Corresponde a digfull y diglean. MatchLimit es opcional. Se indica al motor de búsqueda para detener la búsqueda de un patrón particular dentro de un archivo una vez que se ha alcanzado el límite especificado partido. El valor por defecto es cero, lo que significa que no impone un límite. Nota: ¿Busca una cadena como 'A' con un MatchLimit de cero puede producir una gran cantidad de la producción.
NewLine: [LF | CRLF]

Corresponde a digfull, diglean, mapfull y maplean. NewLine es opcional. Cuando se establece en el CRLF valor, se genera de Windows estilo de línea alimentaciones (es decir, retorno de carro y salto de línea). Cuando NewLine se establece en el valor LF, genera UNIX línea de estilo alimentación (es decir, avance de línea). Este control es útil si revisa / analizar conjuntos de datos de diferentes plataformas en un equipo en particular. El valor predeterminado es el valor nativo para el sistema operativo que se ejecuta el programa.
OutDir: <directorio>

Corresponde a digfull, diglean, mapfull y maplean. OutDir se requiere. Cuenta FTimes dónde escribir los datos de salida. Si no se especifica, el programa abortará. OutDir puede especificarse como una ruta relativa.
OutFileHash: <MD5>

Corresponde a putmode. OutFileHash se requiere. Su valor es el código MD5 del fichero de salida. Este valor debe coincidir con el hash del archivo actual antes de que se permita la carga. El valor se representa como 32 caracteres hexadecimales.
Outfilename: <archivo>

254

Traducido por Sykrayo España

Corresponde a putmode.

255

Traducido por Sykrayo España

Outfilename se requiere. Su valor es el nombre del archivo de salida de ser publicados. Outfilename debe especificarse como una ruta completa.
RequirePrivilege: [y | n]

Corresponde a digfull, diglean, mapfull y maplean. RequirePrivilege es opcional. Cuando está activada ('Y' o 'y'), indica que el operador quiere asegurarse de que la instantánea se ejecuta desde una cuenta con privilegios. En los sistemas UNIX, esto significa que FTimes deben ejecutarse desde una cuenta que tenga una verdadera identificación de usuario de cero (es decir, la raíz). En los sistemas NT/2K esto significa que que se debe ejecutar desde una cuenta que tiene la copia de seguridad y restaurar los derechos de usuario. El valor por defecto es 'N'. Nota: FTimes funcionarán sin privilegios, pero es probable que genere más errores debido a problemas de permisos.
RUNTYPE: [inicio | linktest | snapshot]

Corresponde a digfull, mapfull y putmode. RUNTYPE es opcional. Este control establece una marca correspondiente en el archivo de registro que clasifica los datos de salida como la línea de base, instantánea o linktest. El valor de este control no afecta el formato o el contenido de la salida. Simplemente clasifica los datos de modo que las aplicaciones de análisis automatizados pueden procesar en consecuencia. El valor predeterminado es referencia.
SSLBundledCAsFile: <archivo>

Corresponde a digfull, mapfull, putmode y getMode. SSLBundledCAsFile se requiere cuando SSLVerifyPeerCert está habilitada. Este control especifica el nombre de un archivo codificado PEM (Privacy Enhanced Mail) que contiene un conjunto de paquetes de autoridad de certificación (CA) de certificados. Todo certificado validado por pares que está firmado por una de estas entidades de certificación será aceptada siempre que los controles SSLMaxChainLength y SSLExpectedPeerCN se encuentran también satisfechos. SSLBundledCAsFile puede especificarse como una ruta relativa.
SSLExpectedPeerCN: <nombre>

Corresponde a digfull, mapfull, putmode y getMode. SSLExpectedPeerCN se requiere cuando SSLVerifyPeerCert está habilitada. El valor de este control representa el nombre común se espera de los pares (CN). Convencionalmente, CN se especifican como nombres de dominio completos. Este control elimina la necesidad de realizar una búsqueda de DNS en el momento de la validación de certificados. Esto, a su vez, puede ayudar a prevenir ataques con spoofing DNS.
SSLMaxChainLength: [1-10]

256

Traducido por Sykrayo España

Corresponde a digfull, mapfull, putmode y getMode. SSLMaxChainLength es opcional cuando SSLVerifyPeerCert está habilitada. El valor de este control determina la profundidad puede ser una cadena de certificados antes de que se considera no válido. El valor por defecto es uno.

257

Traducido por Sykrayo España

SSLPassPhrase: <FraseContraseña>

Corresponde a digfull, mapfull, putmode y getMode. SSLPassPhrase es opcional cuando SSLUseCertificate está habilitado. Su valor, si se especifica, se utiliza para descifrar el contenido del archivo de clave privada del cliente (véase SSLPrivateKeyFile).
SSLPrivateKeyFile: <archivo>

Corresponde a digfull, mapfull, putmode y getMode. SSLPrivateKeyFile se requiere cuando SSLUseCertificate está habilitado. Este control especifica el nombre de un archivo de clave de PEM (Privacy Enhanced Mail) codificada que se puede utilizar para firmar los certificados SSL. SSLPrivateKeyFile puede especificarse como una ruta relativa.
SSLPublicCertFile: <archivo>

Corresponde a digfull, mapfull, putmode y getMode. SSLPublicCertFile se requiere cuando SSLUseCertificate está habilitado. Este control especifica el nombre de un PEM (Privacy Enhanced Mail) certificado codificado que se ofrecerá durante los reconocimientos de SSL. SSLPublicCertFile puede especificarse como una ruta relativa.
SSLUseCertificate: [y | n]

Corresponde a digfull, mapfull, putmode y getMode. SSLUseCertificate es opcional. Cuando está activada ('Y' o 'y'), que instruye la aplicación para proporcionar la autenticación de certificados de cliente, si es necesario. El valor por defecto es 'N'.
SSLVerifyPeerCert: [y | n]

Corresponde a digfull, mapfull, putmode y getMode. SSLVerifyPeerCert es opcional. Cuando está activada ('Y' o 'y'), que instruye la aplicación para verificar las credenciales del servidor igual. El valor por defecto es 'N'.
URLAuthType: [básica | ninguna]

Corresponde a digfull, mapfull, putmode y getMode. URLAuthType es opcional. Identifica qué esquema de autenticación que se utilizará al emitir peticiones HTTP / HTTPS. El valor especificado en este control se aplica a todas las solicitudes que implican URLGetURL o URLPutURL. Cuando URLAuthType se ajusta a los servicios básicos, las credenciales del usuario son la base 64 codificados y se incorporan en el encabezado de la solicitud. Las credenciales de usuario especificadas en la URL tienen prioridad sobre las credenciales especificadas en el URLUsername y controles URLPassword. El valor predeterminado es Ninguno. 258

Traducido por Sykrayo España

URLCreateConfig: [y | n]

259

Traducido por Sykrayo España

Corresponde a digfull y mapfull. URLCreateConfig es opcional cuando URLPutSnapshot está habilitada. Cuando está activada ('Y' o 'y'), que instruye la aplicación para crear un archivo de configuración adecuado para volver a colocar la instantánea en un momento posterior. El valor por defecto es 'N'.
URLGetRequest: [{Dig completo, Lean} Config | Mapa {completo, Lean} Config]

Corresponde a getMode. URLGetRequest se requiere. Este control especifica qué tipo de archivo de configuración que el cliente solicita cuando se emite una solicitud GET. También determina el siguiente RunMode GetAndExec cuando está activado. Por lo tanto, los valores de Dig {completo, Lean} Config causarán FTimes para reiniciar en modo diglean digfull o, y los valores de mapa {completo, Lean} Config causarán FTimes para reiniciar en modo maplean mapfull o.
URLGetURL: <url>

Corresponde a getMode. URLGetURL se requiere. Se define el esquema, las credenciales de usuario, dirección de host, el puerto y la aplicación CGI que se utilizará al realizar las solicitudes. Si se especifica un par de nombre de usuario / contraseña en la URL, ese par tiene prioridad sobre los valores especificados por URLUsername / URLPassword, en su caso. URLs deben utilizar un esquema de http o https y satisfacer la siguiente expresión regular: esquema :/ / (usuario (: pass) @?) anfitrión? (: puerto)? / (ruta (\ query)?)?
URLPassword: <contraseña>

Corresponde a digfull, mapfull, putmode y getMode. URLPassword es opcional. Se identifica la contraseña que se utiliza para acceder a un servidor Integrity. El valor especificado en este control se utiliza en conjunción con URLGetURL y URLPutURL a menos que esos controles suministran su propio par de nombre de usuario / contraseña.
URLPutSnapshot: [y | n]

Corresponde a digfull y mapfull. URLPutSnapshot es opcional. Cuando está activada ('Y' o 'y'), FTimes intenta publicar la instantánea a un servidor Integrity. Antes de iniciar la exploración, FTimes transmitirán un PING capa de aplicación en el servidor para verificar que es accesible y funcional. Si la aplicación CGI remoto está funcionando correctamente, se devuelve el código de respuesta HTTP 250 extendida (Ping Recibido). URLPutSnapshot depende de URLPutURL. Si se requiere autenticación básica, el URLUsername controles, URLPassword y URLAuthType pueden necesitar ser especificado así. El valor por defecto es 'N'.
URLPutURL: <url>

260

Traducido por Sykrayo España

Corresponde a digfull, mapfull y putmode.

261

Traducido por Sykrayo España

URLPutURL es opcional. Se define el esquema, las credenciales de usuario, dirección de host, el puerto y la aplicación CGI que se utilizará al realizar peticiones PUT. Si se especifica un par de nombre de usuario / contraseña en la URL, ese par tiene prioridad sobre los valores especificados por URLUsername / URLPassword, en su caso. En cualquier caso, las credenciales de usuario sólo se envían cuando se ha solicitado la autenticación básica (ver URLAuthType). URLPutURL utiliza la misma sintaxis que URLGetURL.
URLUnlinkOutput: [y | n]

Corresponde a digfull y mapfull. URLUnlinkOutput es opcional cuando URLPutSnapshot está habilitada. Cuando está activada ('Y' o 'y'), los archivos de salida se sobrescriben y no vinculadas antes de salir del programa. El valor por defecto es 'N'.
URLUsername: <username>

Corresponde a digfull, mapfull, putmode y getMode. URLUsername es opcional. Identifica el nombre de usuario que utiliza al acceder a un servidor Integrity. El valor especificado en este control se utiliza en conjunción con URLGetURL y URLPutURL a menos que esos controles suministran su propio par de nombre de usuario / contraseña.

VALOR DEVUELTO Al completar con éxito, se devuelve un valor de XER_OK (0). Si el programa encontrado un error crítico y tuvo que abortar inmediatamente, el valor XER_Abort (1) se devuelve. Si la línea de comandos no se ajusta a la sintaxis necesaria, se devuelve un valor de XER_Usage (2). De lo contrario, uno de los siguientes códigos de error se devuelve. Estos códigos indican el subsistema encontró el error fatal.
• • • • • • • •

XER_BootStrap (3) XER_ProcessArguments (4) XER_Initialize (5) XER_CheckDependencies (6) XER_Finalize (7) XER_WorkHorse (8) XER_FinishUp (9) XER_FinalStage (10)

ARCHIVOS Varios archivos de diferentes pueden ser necesarios como entrada o como salida producidos en el curso de FTimes ejecutan. Estos archivos se describen genéricamente a continuación.
Nombre base (_BaseNameSuffix)?. Cfg

La carga de archivos de configuración. Este archivo se crea automáticamente cuando 262

Traducido por Sykrayo España

URLCreateConfig está activado, y puede ser usado en conjunción con el modo de poner para cargar una instantánea creado anteriormente.
Nombre base (_BaseNameSuffix)?. Sesión

263

Traducido por Sykrayo España

El archivo de registro principal. Este archivo contiene un registro de las actividades que tuvieron lugar durante una excavación o el mapa ejecutarse siempre que LogLevel se fijó en un nivel adecuado.
Nombre base (_BaseNameSuffix)?. {Dig, mapa}

El archivo de salida principal. Este archivo contiene el mapa posiblemente comprimido o los datos recogidos durante la excavación de un análisis. La primera línea de este archivo contiene un encabezado que especifica el nombre de cada campo recogido.
Autoridades de certificación liados

Cuando SSLUseCertificate se ha habilitado, FTimes espera encontrar un archivo de autoridades de certificado incluido en la ubicación especificada por el control SSLBundledCAs. Si este archivo no existe o que el formato adecuado, FTimes abortará.
Config

Este archivo contiene directivas se utilizan para configurar FTimes. En general, un archivo de configuración en particular se aplica a un solo modo de funcionamiento. Esto se debe a diferentes modos soportan diferentes controles. Consulte la sección de controles de configuración de este documento para determinar qué controles se aplican a cada modalidad.
Certificado pública y clave privada

Cuando SSLUseCertificate se ha habilitado, FTimes espera encontrar archivos de certificados y claves en los lugares especificados por SSLPublicCert y controles SSLPrivateKey, respectivamente. Si estos archivos no existen o tienen el formato correcto, FTimes abortará.
Instantánea

Este es un archivo de mapa previamente creado y posiblemente comprimido que se suministra como entrada. En el modo de comparación que representa un archivo de mapa no comprimido y se aplica tanto a la línea de base y los argumentos de instantáneas. En el modo de decodificador que representa un archivo de mapa comprimido.
XMagic

Este archivo contiene las pruebas de magia y descripciones. El formato de la magia utilizada por FTimes es XMagic. FTimes busca en un máximo de tres lugares para la magia: (1) la ubicación especificada por el control MagicFile, (2) / usr / local / ftimes / etc / xmagic oc: \ ftimes \ etc \ xmagic, y (3) el trabajo actual directorio. FTimes no abortará, si no se encuentra un archivo adecuado, pero la producción de la magia será limitado.

NOTAS El atributo de nombre puede ser parcialmente codificado si contiene caracteres especiales. Los caracteres especiales se definen como [`'" |% +] o cualquier carácter no imprimible. Si el nombre contiene 264

Traducido por Sykrayo España

caracteres Unicode, el byte es siempre codificada, y el byte bajo se codifica como se describe anteriormente. Para descifrar un nombre codificado, primero convertir todos los pluses a los espacios (por ejemplo, '+' -> ''). A continuación, de izquierda a derecha, convertir cada % HH secuencia, a su valor de byte. Aquí 'H' denota un dígito hexadecimal.

265

Traducido por Sykrayo España

Como cuestión de la seguridad y el control de la configuración, debe crear una línea de base de todo el sistema de forma periódica y siempre que los grandes eventos ocurrir, como la adición / eliminación de paquetes de software o la aplicación de sistema / parches de seguridad. En situaciones críticas, lo mejor es permitir RequirePrivilege y ejecutar FTimes de una cuenta con privilegios. Esto evitará obsesiones comunes asociados con tener muy poca privilegio. Copia de seguridad y restauración de los derechos se requieren para satisfacer RequirePrivilege en sistemas NT, y se requiere privilegios de superusuario en los sistemas UNIX. Si simplemente está digitalizando sus propios archivos, es probable que no necesita habilitar RequirePrivilege. En sistemas NT el operador puede necesitar el Omitir comprobación de recorrido privilegio, además de una copia de seguridad y restaurar los derechos. Además, asegúrese de que las políticas de dominio no están prestando los privilegios del operador ineficaz. En general, utilice el valor predeterminado de LogLevel y revisar los datos de registro después de cada invocación, ya que puede mostrar errores o problemas que necesitan ser abordados. En general, la creación de distintos ficheros de configuración para cada perfil tiene la intención de mantener. En este caso, el perfil se refiere al conjunto de archivos y directorios en un equipo dado que tiene la intención de analizar de forma regular. Si usted tiene un gran número de perfiles que comparten un conjunto común de controles, es posible que desee mover estos controles en un solo archivo. Entonces, es posible que simplemente se refieren a este archivo utilizando el control de importación. Establecer OutDir a un directorio que tiene la capacidad de contener todos los datos resultantes. Si los medios de comunicación externos, como jaz, zip, disquete o están disponibles, considere el uso de ellos. Sin embargo, el uso de un disquete no se recomienda a menos que usted sabe que tiene la capacidad para contener los datos. También es posible que desee considerar la escritura de salida a un NFS, Samba o Windows compartir. Una tercera opción es usar FTimes 'capacidad integrada de carga y enviar los datos directamente a un servidor Integrity. Configuración LogDir a un camino que representa un dispositivo de disco flexible puede ser útil si la integridad de datos es una preocupación y no hay medios extraíbles o protegible disponibles para almacenar toda la producción prevista. La razón de esto es que el archivo de registro contendrá un resumen MD5 del archivo de salida de la finalización del mapa. Debido a que los datos de registro se escriben en disco, sería posible eliminar y escribir proteger esta información para su custodia. Esto proporcionaría más tiempo para descargar los resultados del mapa, que puede ser bastante grande. Obviamente, ambos archivos todavía pueden ser alterados por un atacante experto posicionada para tomar ventaja de la situación. Gestione cavar y trazar archivos de configuración en el servidor Integrity, y utilizar FTimes 'get modo (es decir, - getMode) para recuperar de forma automática en tiempo de ejecución. Esto facilita la gestión centralizada y ayuda a proteger la información de configuración potencialmente sensible. Utilice la URLPutSnapshot, URLPutURL, URLUsername, URLPassword y controles URLAuthType cuando quiera cargar automáticamente los datos a un servidor Integrity que está configurado para manejar FTimes 'Escribe solicitudes. Si tiene una versión de SSL habilitado FTimes, usted debe asegurarse de que OpenSSL y / o de sus bibliotecas están instalados y accesible para FTimes en la plataforma de destino. Cuando sea posible, los sistemas de archivos de destino de montaje como de sólo lectura. Esto ayudará a 266

Traducido por Sykrayo España

garantizar un mínimo de tiempo de perturbación sello. En cualquier caso, FTimes registra con precisión la información de sello de tiempo antes de que sea modificada por cualquier acceso posterior.

267

Traducido por Sykrayo España

EJEMPLOS Los siguientes ejemplos están destinados a demostrar diferentes formas de configuración y el uso FTimes. Cualquier texto encapsulada entre delimitadores '--- XXX ---' representa el contenido de un archivo.

Ejemplo 1. Uso del modo de mapa con el valor inicial y cargar En este ejemplo se muestra la forma de línea de base de un sistema y cargar la instantánea resultante a un control de integridad Servidor. Lo primero que hay que hacer es obtener la información de carga necesaria. Supongamos que un servidor Integrity ya se ha configurado para recibir las instantáneas. Además, se supone que se ha proporcionado la siguiente información:
URL = https://192.168.1.50:443/cgi-client/nph-ftimes.cgi Tipo de autenticación = Básico Nombre de usuario / ClientID = client_1 Password = contraseña AllowedFieldMask = ALL-magia AllowedDataType = mapa Servidor valida certificados de cliente = N

Observar ese servidor remoto habla HTTPS. Por lo tanto, es necesaria una versión de SSL habilitado FTimes. Para determinar si FTimes tiene soporte SSL, ejecute el siguiente comando:
ftimes - versión

Si FTimes tiene soporte SSL, la salida tendrá el siguiente formato:
ftimes X.X.X ssl

donde X.X.X es un número de versión. El siguiente punto a abordar es la creación de un archivo de configuración adecuado. El siguiente archivo contiene las instrucciones necesarias para completar esta tarea.
--- Example1.cfg --Nombre base = client_1 OutDir =. RUNTYPE = línea de base FieldMask = ALLmagia URLPutSnapshot = Y URLPutURL =https://192.168.1.50:443/cgi-client / nph-ftimes.cgi URLAuthType = básica URLUsername = client_1 URLPassword = contraseña URLCreateConfig = Y = Y Comprimir --- Example1.cfg ---

268

Traducido por Sykrayo España

Tenga en cuenta que no hay directrices Include. Esta omisión hace que FTimes al mapa todo (es decir, todo el sistema).

269

Traducido por Sykrayo España

Además, tenga en cuenta que OutDir se ha establecido en el directorio actual (es decir, '.'). Esto, mientras que totalmente legal, supone que (1) '.' se puede escribir y (2) que hay suficiente espacio en disco para contener toda la salida generada. La compresión se activa para acelerar la transferencia de datos, y URLCreateConfig fue capaz de crear una carga de archivos de configuración. Esto sería muy útil si, por ejemplo, la carga falla. De lo contrario, no es necesario. El último paso es ejecutar FTimes y revisar el resultado del registro correspondiente para garantizar la instantánea se ha subido correctamente.
ftimes - example1.cfg mapfull

Ejemplo 2. Uso del modo de excavación para buscar cadenas Este ejemplo muestra cómo los archivos y directorios de búsqueda para un conjunto de cadenas de expresiones HEX / ASCII y regular. Dado que el sistema de archivo de destino es / Disk1, y la lista de cadenas a ser buscado son:
Cadena1 = Cadena2 = String3 = String4 = String5 = <tab|EOL> / dev / ptyqa 0xda 0xBE 0x00 A 0x00 A 0x00 A 0x00 A A fecha de forma <YYYY-MM-DD HH:MM:SS> Línea direcciones IP orientadas de forma <BOL|tab> <192.168.1. *>

donde
BOL = Beginning Of Línea EOL = End Of Line

Cuerdas 1-3 se expresan como (ignore los espacios en blanco) ASCII, HEX, y HEX / ASCII, respectivamente. 4 Strings y 5, por otro lado, son descripciones textuales que deben traducirse en expresiones regulares. Supongamos que el MatchLimit requerida es de tres. Es decir, no más de tres partidos por archivo de cualquier cadena única deben registrarse. El archivo de configuración siguiente contiene las directivas necesarias para buscar todos los archivos / disco 1.
--- Example2.cfg --Nombre base = digger OutDir =. MatchLimit = 3 DigStringNormal = / dev / ptyqa DigStringNormal =% da% será DigStringNoCase =% 00A% 00A% 00A% 00A DigStringRegExp = \ d {4} - \ d {2} - \ d {2} \ d {2}: \ d { 2}: \ d {2} DigStringRegExp = (?: ^ | \ T) (m?) (? = \ T | $) (. 192 \ .168 \ .1 \ \ d {1,3}) Include = / disk1 --- Example2.cfg ---

270

Traducido por Sykrayo España

Observe que las cadenas de dos y tres son URL codificada y que cadena de tres serán procesados de manera insensible caso. Lea la descripción de control DigStringNormal para obtener más detalles sobre la codificación URL. Observe también que la cuarta y quinta cuerdas corresponden a Perl expresiones regulares compatibles - este tipo de cadenas de excavación están disponibles cuando se ha compilado con soporte FTimes PCRE. Con los patrones DigStringRegExp, sin embargo, debe especificar no más de una captura de '()' sub-patrón. Usted puede usar '(? :) Si necesita

271

Traducido por Sykrayo España

paréntesis adicionales para fines de agrupación. Si no se especifica un sub-patrón de captura, a continuación, se capturará todo el partido. En este caso particular, se capturará sólo la dirección IP. En este punto FTimes pueden funcionar de la siguiente manera:
ftimes - diglean example2.cfg

Si se desea la espontaneidad sobre la configuración estricta, cambiar al modo de digauto de operación. En este modo, los archivos de configuración complicados no son necesarios, y el resultado se escribe en la salida estándar. Además, no se impone ningún límite de partido. El siguiente ejemplo muestra cómo buscar un archivo de imagen (por ejemplo, example2.image) para un conjunto de cadenas específicas. La salida, en su caso, se puede canalizar a otras herramientas que tienen a su entrada en la entrada estándar.
--- Strings.cfg --DigStringNormal = Este cuadro + + es 0 wn3d DigStringNormal = 3l33t DigStringNormal = 175.20.1.7 DigStringNormal = hacklist@foo.bar.com --- Strings.cfg --ftimes - digauto strings.cfg example2.image | alguna-otra-herramienta

Sólo recuerde que las cadenas de excavación deben URL codificadas. Es por eso que los espacios de la primera cadena se han sustituido por '+'.

Ejemplo 3. Cambie el análisis Este ejemplo muestra cómo detectar el cambio entre dos instantáneas. Teniendo en cuenta que los siguientes archivos son válidos, sin comprimir instantáneas:
Base = daily_20001230203000.map Foto = daily_20001231203000.map

Comparar MD5 para determinar (C) ahorcado, (M) Issing, y (N) archivos ew. La única observación crítica necesaria aquí es que daily_20001230203000.map se considera que es la línea de base. En otras palabras, una línea de base es una instantánea tomada en un punto arbitrario en el tiempo para el cual se comparan instantáneas posteriores. Esta comparación se realiza con el siguiente comando:
ftimes - comparar ninguno + md5 daily_20001230203000.map daily_20001231203000.map

Para comparar los múltiples atributos al mismo tiempo, basta con especificar los campos adicionales en el FieldMask. Por ejemplo, la siguiente máscara compararía MD5, SHA1 y atributos de tamaño:
Ninguno + md5 sha1 + + Tamaño

Para comparar todos los atributos a la vez, utilizar una FieldMask de 'all'. 272

Traducido por Sykrayo España

Ejemplo 4. Usando el modo de poner a cargar una instantánea Este ejemplo demuestra cómo cargar manualmente una instantánea de un servidor Integrity. Si bien esto no es definitivamente la manera más fácil de transferir los datos, puede ser necesario en algún momento. Supongamos que usted tiene una instantánea que se creó previamente mediante el siguiente comando:
ftimes - maplean maplean.cfg

donde maplean.cfg contenía las siguientes directivas:
--- Maplean.cfg --Nombre base = client_1 BaseNameSuffix = HashDirectories datetime = Y FieldMask = all-magia include = / etc OutDir = / mapas --- Maplean.cfg ---

Ahora, suponga que desea cargar los archivos de instantáneas asociadas (véase más adelante) a una cuenta en un control de integridad Servidor.
/ Maps/client_1_20001230203000.log / Maps/client_1_20001230203000.map

Lo primero que hay que hacer es obtener la información de carga necesaria. Supongamos que un servidor Integrity ya se ha configurado para recibir las instantáneas. Además, se supone que se ha proporcionado la siguiente información:
URL = https://192.168.1.50:443/cgi-client/nph-ftimes.cgi Tipo de autenticación = Básico Nombre de usuario / ClientID = client_1 Password = contraseña AllowedFieldMask = ALL-magia Servidor valida certificados de cliente = N

El siguiente paso es crear un archivo de configuración. A excepción de RUNTYPE, URLPutURL, URLAuthType, URLUsername y URLPassword, los controles en el fichero de configuración siguientes se pueden obtener o bien derivada de la revisión del archivo de registro. Aquí RUNTYPE se ha fijado arbitrariamente en instantánea - también podría haber sido puesto a linktest o de referencia en función de sus necesidades.
--- Example4.cfg --Nombre base = client_1 LogFileName = / maps/client_1_20001230203000.log outfilename = / maps/client_1_20001230203000.map OutFileHash = 6958d1337f4f11312a402d0c8f9c050b DataType = mapa

273

Traducido por Sykrayo España

FieldMask = all-magia DateTime = 20001230203000 RUNTYPE = snapshot URLPutURL =https://192.168.1.50:443/cgi-client/nph-ftimes.cgi URLAuthType = básica URLUsername = client_1 URLPassword = contraseña

274

Traducido por Sykrayo España

--- Example4.cfg ---

El último paso es ejecutar FTimes y revisar el resultado del registro correspondiente para garantizar la instantánea se ha subido correctamente.
ftimes - putmode example4.cfg

Ejemplo 5. Usando el modo de llegar a descargar un archivo de configuración Este ejemplo muestra cómo descargar un archivo de configuración de un servidor Integrity. Lo primero que hay que hacer es obtener la información de descarga es necesario. Supongamos que un servidor Integrity ya se ha configurado para servir los archivos de configuración. Además, se supone que se ha proporcionado la siguiente información:
URL = https://www.integrity.net:443/cgi-client/nph-ftimes.cgi Tipo de autenticación Básico = Nombre de usuario / ClientID = client_1 Password = contraseña Servidor valida certificados de cliente = Y Nombre común del servidor = www.integrity.net Máxima longitud de la cadena de certificados = 2

Observe que servidor remoto requiere certificados. Esto significa que usted necesitará tres PEM archivos codificados adicionales: Certificado pública, clave privada, y autoridades de certificación liados. Se supone que estos archivos se encuentran en el sistema de destino de la siguiente manera:
/ Usr / local / ftimes / etc / PublicCert.pem / Usr / local / ftimes / etc / PrivateKey.pem / Usr / local / ftimes / etc / BundledCAs.pem

Armado con esta información, el archivo de configuración siguiente se puede construir.
--- Example5.cfg --Nombre base = client_1 URLGetURL =https://www.integrity.net:443/cgi-client/nph-ftimes.cgi URLGetRequest = MapFullConfig GetAndExec = N = URLAuthType URLUsername básica = client_1 URLPassword = contraseña SSLUseCertificate = Y SSLPublicCertFile = / usr / local / ftimes / etc / PublicCert.pem SSLPrivateKeyFile = / usr / local / ftimes / etc / PrivateKey.pem SSLPassPhrase = contraseña SSLVerifyPeerCert = Y SSLBundledCAsFile = / usr / local / ftimes / etc / BundledCAs.pem SSLExpectedPeerCN = www.integrity.net SSLMaxChainLength = 2 --- Example5.cfg ---

El siguiente comando intentará descargar un archivo de configuración mapfull de la integridad del servidor especificado. Si tiene éxito, el contenido del archivo de configuración se escriben en la salida estándar. 275

Traducido por Sykrayo España

ftimes - getMode example5.cfg

276

Traducido por Sykrayo España

Si quiere descargar directamente a un archivo, puede redirigir la salida a un archivo o agregar el control GetFileName a su archivo de configuración. Luego, si desea descargar un archivo de configuración y tomar una instantánea en una operación, sólo tiene que activar GetAndExec. Esto hace FTimes para reiniciar en modo - mapfull. Si URLGetRequest se establece en DigFullConfig, entonces FTimes pedirían un archivo config digfull y posteriormente reiniciar en modo - digfull. Otra forma de lograr el mismo efecto es utilizar el archivo de configuración original y la construcción de la siguiente tubería:
ftimes - getMode example5.cfg-l 6 | ftimes - mapfull -

Esto tiene la ventaja de que la información de configuración potencialmente sensible no está escrito específicamente a un archivo en el disco. Por último, tenga en cuenta que el LogLevel para el primer comando se establece en su valor más alto. Esto se hace simplemente para reducir la salida del registro de ese proceso.

277

Traducido por Sykrayo España

galleta: Analizador de la galleta por Internet Explorer. Desarrollado por Keith J. Jones. Disponible desde http://www.foundstone.com/resources/proddesc/galleta.htm Lo siguiente es de http://www.foundstone.com/resources/proddesc/galleta.htm Una herramienta de Internet Explorer cookies Análisis Forense. Autor: Keith J. Jones, Informática Forense Principal Consultant; Foundstone, Inc. keith.jones @ foundstone.com Derechos de autor 2003 (c) por Foundstone, Inc. http://www.foundstone.com Muchos de los archivos importantes en Microsoft Windows tienen estructuras que son indocumentados. Uno de los principios de la informática forense es que todos los métodos de análisis deben estar bien documentados y repetibles, y deben tener un margen de error aceptable. Actualmente, hay una falta de métodos y herramientas que los analistas forenses pueden confiar para examinar los datos que se encuentran en los archivos de Microsoft propietarias de código abierto. Muchas investigaciones de delitos informáticos requieren la reconstrucción de los archivos de cookies de Internet Explorer de un tema. Dado que esta técnica de análisis se ejecuta con regularidad, hemos investigado la estructura de los datos que se encuentran en los archivos de cookies. Galleta, la palabra española que significa "cookie", fue desarrollada para examinar el contenido de los archivos cookie. El fundamento de la metodología de análisis de Galleta será documentado en un próximo libro blanco. Galleta analizará la información en un archivo de cookies y la salida de los resultados en un campo delimitado forma para que pueda ser importado en su hoja de cálculo favorita. Galleta está diseñado para funcionar en múltiples plataformas y se ejecutará en Windows (a través de Cygwin), Mac OS X, Linux y plataformas * BSD. Uso: galleta [opciones] Opciones <filename>: -D Delimitador de campo (TAB por defecto) Ejemplo de uso: # Galleta antihackertoolkit.txt> cookies.txt Cookies.txt abierto como un archivo delimitado por TAB en MS Excel a una mayor ordenación y filtrar los resultados

278

Traducido por Sykrayo España

visión: Indexación y sistema de consulta. Desarrollado por Golda Vélez. Disponible desde http :/ / webglimpse.net / Lo siguiente es de http://webglimpse.net/gdocs/glimpsehelp.html Vislumbrar (Que significa Search implícita global) es un popular indexación UNIX y el sistema de consulta que le permite buscar a través de un amplio conjunto de archivos muy rápidamente. Glimpse compatible con la mayoría de opciones de agrep (agrep es nuestra poderosa versión de grep) incluyendo correspondencia aproximada (por ejemplo, la búsqueda de las palabras mal escritas), las consultas booleanas, e incluso algunas formas limitadas de expresiones regulares. Se utiliza de la misma manera, excepto que usted no tiene que especificar los nombres de archivo. Por lo tanto, si usted está buscando una aguja en cualquier parte de su sistema de archivos, todo lo que tienes que hacer es decir la aguja visión y todas las líneas que contienen la aguja aparecerá precedido del nombre del archivo. Para utilizar vistazo primero tiene que indexar sus archivos con glimpseindex. Por ejemplo, glimpseindex-O ~ Indexará todo en o por debajo de su directorio personal. Glimpse también está disponible para los sitios web, como un conjunto de herramientas llamado WebGlimpse. Glimpse incluye todos agrep y se puede utilizar en lugar de agrep dando un nombre de archivo (s) al final del comando. Esto hará vistazo a ignorar el índice y ejecutar agrep como de costumbre. Por ejemplo, la idea del archivo de patrones -1 es el mismo que agrep archivo de patrones -1. Agrep se distribuye como un paquete independiente dentro visión, y se puede utilizar por separado. Hemos añadido una nueva opción para agrep:-r busca recursivamente el directorio y todo por debajo de ella (ver opciones agrep abajo) y se utiliza solamente cuando vislumbre vuelve a agrep. SINOPSIS visión [-casi todas las letras] patrón INTRODUCCIÓN Comenzamos con formas sencillas de utilizar vistazo y describir todas las opciones en detalle más adelante. Una vez que un índice se construye utilizando glimpseindex, busca un patrón es tan fácil como decir patrón de visión La salida de visión es similar a la de agrep (o cualquier otra grep). El patrón puede ser cualquier patrón legal agrep incluyendo una expresión regular o una consulta booleana (por ejemplo, la búsqueda de Tucson y Arizona se realiza mediante visión `Tucson, Arizona). La velocidad de visión depende principalmente de la cantidad y el tamaño de los archivos que contienen un partido y sólo a un segundo grado en el tamaño total de todos los archivos indexados. Si el patrón es bastante raro, entonces se informarán todos los partidos en pocos segundos, incluso si los archivos indexados suman 500 MB o más. Parte de la información sobre el funcionamiento de vislumbrar y una referencia a un artículo detallado se indican a continuación. 279

Traducido por Sykrayo España

La mayoría de agrep (y otros grep de) las opciones son compatibles, incluyendo correspondencia aproximada. Por ejemplo, vislumbrar -1 `Tuson; Arezona '

280

Traducido por Sykrayo España

es la salida de todas las líneas que contienen ambos patrones permitiendo una error de ortografía en cualquiera de los patrones (Ya sea la inserción, eliminación o sustitución), que en este caso es, sin duda necesario. vislumbrar -W-i `padre ' especifica mayúsculas y minúsculas (-i) y combinar las palabras completas (-w). Así `Padre 'y' PADRE 'coincidirán,` padre / hijo coincidirá, pero `paréntesis' o` padres no coincidirán. (A partir de la versión 3,0, visión puede ser mucho más rápido cuando se especifican estas dos opciones, especialmente en caso de grandes índices. Es posible que desee crear un alias especial de "visión-w-i".) La opción-F proporciona un patrón que debe coincidir con el nombre del archivo. Por ejemplo, vislumbrar -F '\. C $ "aguja encontrarán la aguja patrón en todos los archivos cuyo nombre termina con. c. (Glimpse comprobará primero su índice para determinar qué archivos pueden contener el patrón y ejecute agrep en los nombres de archivo para limitar aún más la búsqueda.) La opción-F no debe ponerse al final después de que el patrón principal (por ejemplo, la "visión aguja-F heno "es incorrecto). Descripción detallada de unaLL GlimpSE OPCIONES - # # Es un número entero entre 1 y 8 que especifica el número máximo de errores permitidos en la búsqueda de los partidos aproximados (el valor por omisión es cero). En general, cada inserción, deleción, sustitución o cuenta como un error. Es posible ajustar el coste relativo de inserciones, deleciones y sustituciones (ver opciones-I-D-y S). Dado que el índice almacena caracteres en sólo menores, los errores de la sustitución de mayúsculas a minúsculas pueden pasarse por alto. Permitir que los errores en el partido requiere más tiempo y puede ralentizar el partido en un factor de 2-4. Tenga mucho cuidado al especificar más de un error, ya que el número de partidos tienden a crecer muy rápidamente. -Un impresiones atribuyen nombres. Esta opción sólo se aplica a Harvest datos estructurados SOIF (utilizados con glimpseindex-s). -Un utilizado para internos vislumbrar. -B impresión offset el byte (desde el principio del archivo) del extremo de cada partido. El primer carácter de un archivo ha compensado 0. -B Mejor modo de juego. (Advertencia:-B.. Veces pierde partidos es más seguro especificar el número de errores de forma explícita) Al-B se especifica y no se encuentran coincidencias exactas, visión seguirá buscando hasta que los partidos más cercanos (es decir, los que tienen un número mínimo de los errores) se encuentran, por lo ese momento aparecerá el siguiente mensaje: "el mejor partido de x contiene errores, hay partidos de y, salida de ellos (y / n)?" Este mensaje se refiere al número de partidos que se encuentran en el índice. Puede haber muchos más partidos en el propio texto (o puede haber 281

Traducido por Sykrayo España

ninguna si-F se usa para filtrar los archivos). Cuando la opción - #, c-, se especifican las opciones-o l, la opción-B es ignorado. En general,-B puede ser más lento que - #, pero no por mucho. Dado que el índice almacena caracteres en sólo menores, los errores de la sustitución de mayúsculas a minúsculas pueden pasarse por alto. -C Mostrar sólo el número de registros coincidentes. Sólo se muestran los archivos con contador> 0.

282

Traducido por Sykrayo España

-C dice vistazo enviar sus consultas a glimpseserver. -D 'Delimitado' Definir delimitado como el separador entre dos registros. El valor por defecto es "$", es decir, un registro por defecto es una línea. delimitador puede ser una cadena de tamaño de a lo sumo 8 (con posible uso de y ^ $), pero no una expresión regular. Texto delimitado entre dos de, antes del primer delimitador, y después del último delimitador se considera como un registro. Por ejemplo,-d '$ $' define párrafos como registros y-d '^ From \' define los mensajes de correo como registros. visión coincide con cada registro por separado. Esta opción no funciona actualmente con expresiones regulares. La opción-d es especialmente útil para los operadores booleanos AND consultas, debido a que los patrones no deben aparecer en la misma línea pero en el mismo registro. Por ejemplo,
correo-d '^ From \' 'visión vistazo-F, arizona, anuncio'

es la salida de todos los mensajes de correo electrónico (en su totalidad) que tienen los 3 patrones en cualquier parte del mensaje (o el encabezado), suponiendo que los archivos con 'mail' en su nombre contienen mensajes de correo. Si desea que el ámbito del expediente que todo el archivo, utilice la opción-W. Advertencia Glimpse: Utilice esta opción con cuidado. Si se define el delimitador para que coincida con mensajes de correo, por ejemplo, y vislumbrar encuentra el patrón en un archivo normal, no puede encontrar el delimitador y por lo tanto dará salida a todo el archivo. (La opción-t - ver abajo - se puede utilizar para poner el delimitador al final del registro.) Funcionamiento Nota: agrep (y visión) recurre a la búsqueda más compleja cuando se utiliza la opción-d. La búsqueda es más lento y por desgracia no más de 32 caracteres se pueden utilizar en el patrón. -D kEstablecer el coste de una deleción en k (k es un número entero positivo). Esta opción no funciona actualmente con expresiones regulares. -E Es útil cuando el patrón comienza con un -. -E imprime las líneas en el índice (tal y como aparecen en el índice), que coinciden con el patrón. Se utiliza principalmente para la depuración y el mantenimiento del índice. Esto no es una opción que un usuario necesita saber. -F nombre_archivo esta opción tiene un significado diferente para agrep que para vislumbrar: En visión, sólo los archivos cuyos nombres figuran en nombre_archivo coinciden. (Los nombres de los archivos tienen que aparecer como en . Glimpse_filenames.) En agrep, el nombre_archivo contiene la lista de los patrones que se buscan. -F file_pattern limita la búsqueda a los archivos cuyo nombre (incluyendo la ruta completa) coincide file_pattern. Esta opción se puede utilizar en una variedad de aplicaciones para proporcionar búsqueda limitada incluso para un índice grande. Si file_pattern coincide con un directorio, se tendrán en cuenta todos los archivos con este directorio en su camino. Para limitar la búsqueda a los nombres de los archivos, utilice $ al final de la pauta. file_pattern puede ser una expresión regular e incluso un patrón booleano. Esta opción se implementa mediante la ejecución agrep file_pattern en la lista de nombres de archivos obtenidos del índice. Por lo tanto, la búsqueda del propio índice toma la misma cantidad de tiempo, pero limitando la segunda fase de la búsqueda de sólo unos pocos archivos se puede acelerar la búsqueda de manera significativa. Por ejemplo, -F vistazo 'src #. c \ $' aguja 283

Traducido por Sykrayo España

buscarán aguja en absoluto. c archivos con el original en algún punto del camino. El Ffile_pattern debe comparecer ante el patrón de búsqueda (por ejemplo, visión aguja-F '\. $ C' no funcionará). Es posible utilizar algunas de las opciones de agrep cuando coincidan con los nombres de archivo. En este caso todas las opciones, así como el file_pattern deben estar entre comillas. (-B y-v no funciona muy bien como parte de un file_pattern.) Por ejemplo,

284

Traducido por Sykrayo España

patrón de visión-F '-1 \. html' permitirá un error ortográfico al emparejar. html para los nombres de archivo (por lo que ". htm" y ". shtml" coincidirá también). visión-F '-v \. c $ "contra buscará "contra" en todos los archivos excepto los archivos. c. -G imprime el número de archivo (su posición en el archivo glimpse_filenames.) en vez de su nombre. -G Salida de los archivos (conjunto) que contienen un partido. -H No mostrar nombres de archivos. -H nombre_directorio busca la de los demás. archivos vislumbrar en nombre_directorio índice y. El valor predeterminado es el directorio inicial. Esta opción es útil, por ejemplo, si varios índices diferentes se mantienen para diferentes archivos (por ejemplo, una para mensajes de correo electrónico, uno para el código fuente, uno de los artículos). -I Búsqueda Case-insensible - por ejemplo, "A" y "a" se consideran equivalentes. Índice de Glimpse almacena todos los patrones en minúsculas. Rendimiento Nota: Cuando se utiliza-i con la opción-w, la búsqueda puede llegar a ser mucho más rápido. Se recomienda tener-i y w como valores por defecto, por ejemplo, a través de un alias. Utilizamos los siguientes alias en nuestro archivo. Cshrc. Br alias glwi 'mirada-w-i' -Me kEstablecer el coste de una inserción en k (k es un número entero positivo). Esta opción no funciona actualmente con expresiones regulares. -J Si el índice se construyó con la opción-t, entonces j es la salida de los archivos últimas fechas de modificación, además de todo lo demás. No hay grandes reducciones del rendimiento para esta opción. -J nombre_host se utiliza junto con glimpseserver (-C) para conectarse a un servidor en particular. -K Sin símbolo en el patrón es tratado como un carácter de meta. Por ejemplo, visión-k 'a (b | c) * d' da como resultado las ocurrencias de un (b | c) * d mientras que la visión 'a (b | c) * d' encontrará subcadenas que coincidan con la expresión regular ' a (b | c) * d '. (La única excepción es ^ al principio del patrón y $ al final del patrón, que todavía se interpretan de la forma habitual. Utilice \ ^ o \ $ si los necesita textualmente.) -K número_puerto se utiliza junto con glimpseserver (-C) para conectarse a un servidor en particular en el número de puerto TCP especificado. -L Salida sólo los nombres de los archivos que contienen este partido. Esta opción difiere de la opción-N en el que se busca en los archivos propios, pero las líneas que coincidan no se muestran. -L x | x: y | x: y: z si se le da un número, se trata de un límite en el número total de partidos. Glimpse salidas sólo los x primeros partidos. Si-l se utiliza (es decir, se buscan sólo los

285

Traducido por Sykrayo España

nombres de archivo), entonces el límite está en el número de archivos, de lo contrario, el límite está en el número de registros. Si se dan dos números (X: y), entonces y es añadido un límite en el número total de archivos. Si se dan tres números (x: y: z), entonces z es un límite añadido en el número de coincidencias por archivo. Si alguna de las x, y o z se establece en 0, que significa

286

Traducido por Sykrayo España

ignorarlo (en otras palabras, 0 = infinito en este caso), por ejemplo, L-doce y diez da salida a todos los partidos a los primeros 10 archivos que contienen un partido. Esta opción es especialmente útil para los servidores que necesita limitar la cantidad de salida proporcionada a los clientes. -M utilizado para internos vislumbrar. -M utilizado para internos vislumbrar. -N Cada registro coincidente (línea) es prefijado por su número de registro (línea) en el archivo. Rendimiento Nota: Para calcular el número de registro / línea, agrep tiene que buscar todos los delimitadores de registro (o saltos de línea), lo que puede retrasar la búsqueda. -N Busca sólo en el índice (por lo que la búsqueda es más rápida). Si-o o-b se utilizan entonces el resultado es el número de archivos que tienen un partido más el potencial de un mensaje para preguntarle si desea ver los nombres de archivo. (Si-y se utiliza, entonces no es rápido y los nombres de los archivos aparecerá.) Esto podría ser una manera de conseguir los nombres de archivo coincidentes sin tener acceso a los archivos propios. Sin embargo, debido a que sólo el índice se busca, algunas posibles coincidencias no pueden ser partidos reales. En otras palabras, con-N que no se pierda ningún archivo, pero usted puede conseguir los archivos adicionales. Por ejemplo, desde las tiendas de índice todo en minúsculas, una consulta entre mayúsculas y minúsculas puede coincidir con un archivo que tiene sólo un partido entre mayúsculas y minúsculas. Consultas booleanas pueden coincidir con un archivo con todas las palabras clave, pero no en la misma línea (indexación con-b permite vislumbrar a averiguar si las palabras clave se encuentran cerca, pero no puede entender a partir del índice si están exactamente en la misma línea o en el mismo registro sin mirar el archivo). Si el índice no fue construido con-O o-b, a continuación, esta opción genera el número de bloques que coincidan con el patrón. Esto es útil como una indicación de cuánto tiempo tomará la búsqueda. Todos los archivos se dividen en general 200-250 bloques. Los archivos. Glimpse_statistics contiene el número total de bloques (o visión-N A dará una buena estimación, a pocas manzanas sin las ocurrencias de "a" se perdió). -O de lo contrario-t: el delimitador no se emite en la cola, pero en el comienzo del registro emparejado. -O los nombres de archivo no se impriman antes de cada registro que cumpla, en su lugar, cada nombre de archivo se imprime sólo una vez, y todos los registros coincidentes en que se imprimen después de ella. -P (Desde la versión 4.0b1 sólo) Soporta lectura de establecer comprimida de nombres de archivo. La opción-p le permite utilizar `barrios 'comprimido (conjuntos de nombres de archivos) para limitar su búsqueda, sin descomprimirlos. Añadido principalmente para WebGlimpse. El uso es: "-p nombre del archivo: X: Y: Z", donde "nombre" es el archivo comprimido con los barrios, X es un desplazamiento en el archivo (normalmente 0, debe ser un múltiplo de sizeof (int)), Y es la visión longitud debe acceder a ese fichero (si es 0, entonces todo el archivo, debe ser un múltiplo de sizeof (int)) y Z debe ser 2 (indica que "nombre" tiene escasa-set representación de los barrios comprimidos: los otros valores son sólo para uso interno). Tenga en cuenta que cualquier dos puntos ":" en el nombre del archivo debe ser escapado con una barra invertida \. 287

Traducido por Sykrayo España

-P utilizado para internos vislumbrar. -Q imprime los desplazamientos del comienzo y final de cada registro emparejado. La diferencia entre-q y-b-b es que imprime los desplazamientos de la cadena coincidente real, mientras que-q Imprime los desplazamientos de todo el disco donde se produjo el encuentro. El formato de salida es @ x {y}, donde x es el desplazamiento comienzo e y es el final de desplazamiento.

288

Traducido por Sykrayo España

-Q cuando se utiliza junto con-N visión no sólo muestra el nombre de archivo donde se produce el partido, pero las ocurrencias exactas (offsets) como se ve en el índice. Esta opción sólo es relevante si el índice se construyó con-b, de lo contrario, las compensaciones no están disponibles en el índice. Esta opción se ignora cuando se utiliza no con-N. -R Esta opción es una opción agrep y se tendrá en cuenta en la idea, a menos visión se utiliza con un nombre de archivo al final lo que hace que funcione como agrep. Si el nombre de archivo es un nombre de directorio, la opción-r buscará (recursivamente) todo el directorio y todo por debajo de ella. (No se utilizó el índice de visión.) -R kdefine el tamaño máximo (en bytes) de un registro. El valor máximo (que es el valor predeterminado) es 48K. Definición de la máxima a ser menor que la deafult puede acelerar algunas búsquedas. -S Trabajar en silencio, es decir, mostrar nada más que mensajes de error. Esto es útil para verificar el estado de error. -S kEstablecer el coste de un cambio en k (k es un número entero positivo). Esta opción no funciona actualmente con expresiones regulares. -T Similar a la opción-d, excepto que el delimitador se asume que aparecerá al final del registro. Glimpse es la salida del registro a partir de finales de. I DELIM (e incluyendo) la próxima. I delimitado. (Consulte la advertencia de la opción-d.) -T directorio Utilice el directorio como un lugar donde se construyen los archivos temporales. (Glimpse produce unos pequeños archivos temporales generalmente en / tmp.) Esta opción es útil sobre todo en el contexto de consultas estructuradas para el proyecto de la cosecha, donde los archivos temporales pueden ser no trivial, y el directorio / tmp puede no tener suficiente espacio para ellos. -U (A partir de la versión 4.0b1) Interpreta un índice creado con la opción-U en la glimpseindexX o. Útil sobre todo para aplicaciones web WebGlimpse o similar. Al vislumbrar salidas de partidos, se mostrará el nombre del archivo, la URL y el título de forma automática. -V (Esta opción es una opción agrep y se tendrá en cuenta en la idea, a menos visión se utiliza con un nombre de archivo al final lo que hace que funcione como agrep.) Salida de todos los registros / líneas que no contienen un partido. -V imprime la versión actual de visión. -W Búsqueda para el patrón como una palabra \ (em es decir, rodeado de caracteres no alfanuméricos Por ejemplo, visión-w coche va a coincidir con coche, pero no caracteres y no car10 El no alfanumérico debe rodear el partido;.. No pueden ser contados . como errores Esta opción no funciona con expresiones regulares Rendimiento Nota:. Cuando-w se usa junto con la opción-i, la búsqueda puede llegar a ser mucho más rápido El-w no funciona con $, ^ y _ (vea FALLOS. más adelante). Se recomienda he-i y w como valores por defecto, por ejemplo, a través de un alias. Usamos los siguientes alias en nuestro. cshrc
alias glwi 'visión-w-i'

-W El valor predeterminado de Boolean y consultas es que cubren un registro (el valor

289

Traducido por Sykrayo España

predeterminado para un registro es una línea) a la vez. Por ejemplo, la visión 'bueno, malo "hará salir todas las líneas que contienen tanto" bueno "y

290

Traducido por Sykrayo España

"Malo". La opción-W cambia el alcance de booleanos que todo el archivo. Dentro de una visión de archivos es la salida de todos los partidos a cualquiera de los patrones. Por lo tanto, vislumbrar-W-bueno, malo "hará salir todas las líneas que contienen "Bueno" o "malo", pero sólo en los archivos que contienen los dos patrones. Para consultas estructuradas, el ámbito es siempre el atributo o conjunto de archivos. -X El patrón debe coincidir con toda la línea. (Esta opción se traduce a W cuando se busca en el índice y se usa sólo cuando se busca en el texto actual. Es de uso limitado en visión.) -X (Desde la versión 4.0b1 sólo) de salida de los nombres de archivos que contengan un partido, incluso si estos archivos se han eliminado ya que el índice se construyó. Sin esta opción vistazo, simplemente ignorar estos archivos. -Y No preguntar. Proceda con el partido como si la respuesta a cualquier pregunta es y. Servidores (u otros scripts) utilizando visión probablemente desee utilizar esta opción. -Y kSi el índice se construyó con la opción-t, entonces Y x se emiten solamente partidos de los archivos creados o modificados en los últimos x días. No hay grandes reducciones del rendimiento para esta opción. -Z Permitir filtrado personalizables, utilizando el archivo. Glimpse_filters para realizar los programas enumerados allí durante cada partido. El mejor ejemplo es comprimir / descomprimir. Si. Glimpse_filters incluyen la línea
*. Z descomprimir <

(Separado por tabuladores), entonces antes de indexar cualquier archivo que coincida con el patrón "*. Z" (la misma sintaxis que el de. Glimpse_exclude) el comando listado se ejecuta primero (suponiendo de entrada es a partir de la entrada estándar, por lo que necesita descomprimir <) y su salida (suponiendo que va a la salida estándar) está indexada. El propio archivo no se cambia (es decir, se queda comprimida). Entonces, si se utiliza vistazo-z, el mismo programa se utiliza en estos archivos sobre la marcha. Cualquier programa puede ser utilizado (corremos 'exec'). Por ejemplo, se puede filtrar partes de los archivos que no deben ser indexados. Glimpseindex trata de aplicar todos los filtros en . Glimpse_filters en el orden en que se dan. Por ejemplo, si desea descomprimir un archivo y luego extraer una parte de ella, ponga el mando de compresión (el ejemplo de arriba) y luego otra línea que especifica la extracción. Tenga en cuenta que esto puede ralentizar la búsqueda por los filtros deben ser ejecutados antes de que se busca en los archivos. (Véase también glimpseindex.) -Z No op. (Es útil para las partes internas de vislumbrar. Confíe en nosotros.) PATTERNS vislumbrar es compatible con una gran variedad de modelos, incluyendo cuerdas simples, cuerdas con clases de personajes, juegos de cuerdas, comodines y expresiones regulares. Cuerdas Las cadenas son cualquier secuencia de caracteres, incluyendo los símbolos `^ 'especiales de inicio de la línea y '$' Para la final de la línea. Los siguientes caracteres especiales ('$', `^ ',' * ',' [',` ^', `| ',' (',') ',`' y `\ '!), Así como el siguiendo meta caracteres especiales para vislumbrar (y agrep):. ';', ',', '#', '<', '>', 291

Traducido por Sykrayo España

`- 'y`', debe ser precedido por '\' si son que se ajustará como personajes regulares. Por ejemplo, \ ^ abc \ corresponde a la cadena ^ abc \, mientras que ^ abc corresponde a la cadena ABC en el principio de una línea.

292

Traducido por Sykrayo España

Clases de personajes una lista de caracteres entre [] (en orden) se corresponde con cualquier carácter de la lista. Por ejemplo, [a-ho-z] es cualquier carácter entre a y h o entre o y z. El símbolo '^' dentro de [] complementa la lista. Por ejemplo, [^ a] denotar cualquier personaje en el juego de caracteres, excepto carácter 'i' a 'n'. El símbolo `^ 'por lo tanto tiene dos significados, pero esto es consistente con egrep. Los 'símbolo'. (No atención) significa cualquier símbolo (excepto para el símbolo de línea nueva). Operaciones booleanas Vislumbrar apoya una "operación denotada por el símbolo ';' 'y una' operación denotada por el símbolo`, '`OR, una versión limitada de un' NO 'operación (a partir de la versión 4.0b1) denota con el símbolo `~ ', O cualquier combinación. Por ejemplo, la visión `de pizza, hamburguesa con queso 'emitirán todas las líneas que contienen ambos patrones. visión-F `gnu, \ c $ '` define, por defecto'. sacará todas las líneas que contienen tanto definir `'y` default' (en cualquier lugar de la línea, no necesariamente en orden) en los archivos cuyo nombre contenga `gnu 'y termina a. c. visión `{político, equipo}; ciencia 'coincidirá con' ciencia política 'o' la ciencia de las computadoras. La operación NOT sólo funciona junto con la opción-W y generalmente sólo se aplica a todo el archivo en lugar de los registros individuales. En la actualidad no funciona con coincidencia aproximada. Su rendimiento puede a veces parecer contradictorio. Use con cuidado. visión-W 'Fama, gloria ~' es la salida de todas las líneas que contienen "fama" en todos los archivos que contengan "fama" pero no contienen 'Gloria'; Este es el uso más común de NO, y en este caso funciona como se esperaba. visión-W '~ {Fama, gloria}' se limita a archivos que no contengan esas dos palabras, y es la salida de todas las líneas que contienen una de ellas. Los comodines El símbolo `# 'se utiliza para indicar una secuencia de cualquier número (incluyendo 0) de caracteres arbitrarios. El símbolo # es equivalente a. * En egrep. De hecho,. * Funcionará también, porque es una expresión regular válida (véase más adelante), pero a menos que sea parte de una expresión regular real, # funcionará más rápido. (En la actualidad visión está experimentando algunos problemas con #.) Combinación de correspondencia exacta y aproximada Cualquier patrón entre paréntesis angulares <> debe coincidir con el texto tal y aunque el partido es con errores. Por ejemplo, <mathemat> ics coincide matemática con un error (en sustitución de la última s con a), pero mathe <matics> no coincide matemática no importa cuántos errores están permitidos. (Esta opción está libre de errores en el momento.) Las expresiones regulares Dado que el índice se basa palabra, una expresión regular debe coincidir con las palabras que aparecen en el índice de visión para encontrarlo. Glimpse elimina primero la expresión regular de todos los caracteres no alfabéticos, y busca en el índice para todas las palabras restantes. A continuación, aplica la expresión regular que coincide con el algoritmo de los archivos que se encuentran en el índice. Por ejemplo, la idea `abc. * Xyz 'van a buscar en el índice de todos los archivos que contienen a la vez` abc' y `xyz" y, a continuación, buscar directamente `abc. * Xyz" en esos archivos. (Si utiliza vistazo-w `abc. * Xyz ', y luego' abcxyz 'no se encuentra, porque vistazo pensará que abc y xyz deben ser coincidencias con palabras completas.) La sintaxis de las expresiones regulares en visión, en general, el mismo que para agrep. La operación de unión `| ', cierre de Kleene' * ', y los paréntesis () son compatibles. Actualmente `+ 'no es compatible. Las expresiones regulares se limitan actualmente 293

Traducido por Sykrayo España

a aproximadamente 30 caracteres (generalmente excluyendo meta caracteres). Algunas opciones (-d,-w,-t,-x, - d,-i,-S) no funcionan actualmente con expresiones regulares. El número máximo de errores para regulares expresiones que utilizan `* 'o` |' es 4. consultas estructuradas Glimpse apoya algún tipo de consultas estructuradas que utilizan el formato SOIF de Harvest. Ver Consultas estructuradas para más detalles.

294

Traducido por Sykrayo España

EXAMPLES aguja vistazo-F `haystack.h $ ' encuentra todos los archivos de todas las agujas en haystack.h 's. visión -2-F HTML Anestesiología salidas de todas las apariciones de Anestesiología con dos errores en archivos con HTML en su nombre completo en alguna parte. visión-l-F `. nombrevariable c $ ' se enumeran los nombres de todos. c archivos que contienen nombrevariable (L-opción enumera los nombres de archivos en lugar de salida de las líneas coincidentes). visión-F `electrónico; 1993 '` windsurf, Arizona encuentra todas las líneas que contienen el windsurf y Arizona en todos los archivos que tengan `mail 'y` 1993' en su nombre completo en alguna parte. visión-F `electrónico t.j @ # uk ' busca todas las direcciones de correo electrónico (buscar sólo los archivos con el correo en algún lugar de su nombre) desde el Reino Unido, donde el nombre de inicio de sesión termina con tj, donde el. representa cualquier carácter. (Esto es muy útil para encontrar un nombre de usuario de alguien cuyo segundo nombre no se sabe.) visión-F mbox-h-G. > MBOX concatena todos los archivos cuyo nombre coincide con `mbox 'en uno mayor.

295

Traducido por Sykrayo España

grepmail: Grep través de buzones. Desarrollado por David Coppit. Disponible desde http://grepmail.sourceforge.net/ A continuación se toma de http://grepmail.sourceforge.net / Búsqueda de mensajes de correo electrónico en un buzón normal o comprimida utilizando una expresión regular o fecha de delimitación. Características: • Gzip, bzip2, apoyo tzip • Hilo apoyado entrada (comprimido o no) • Soporta fechas complejas como "entre 15 de enero 1999, y hace 5 semanas" • Puede ignorar archivos adjuntos MIME no textual • Puede buscar sólo el encabezado o sólo el cuerpo de un correo electrónico • Puede subdirectorios recursivamente • Optimiza automáticamente la velocidad frente a la flexibilidad en la búsqueda basada en restricciones de fecha. La siguiente es tomado de la orden: grepmail
grepmail 5.3032 uso: grepmail [- help | - version] [-abBDFhHilmrRuvVw] [-C <cachefile>] [-j <status>] [-s <sizespec>] [-d <date-specification>] [-X <signature-pattern>] [-Y <header-pattern>] [-e] <patrón> <files...> grepmail [- help | - version] [-abBDFhHilmrRuvVw] [-C <cachefile>] [-j <status>] [-s <sizespec>] [-d <date-specification>] [-X <signature-pattern>] [-Y <header-pattern>] -E <expr> <files...> grepmail [- help | - version] [-abBDFhHilmrRuvVw] [-C <cachefile>] [-j <status>] [-s <sizespec>] [-d <date-specification>] [-X <signature-pattern>] [-Y <header-pattern>] -F <pattern-file> <files...> Al menos uno de-s,-s,-u,-e, y-E debe ser especificado, y puede aparecer en cualquier orden relativo después de las otras banderas. La bandera-e es opcional si el patrón aparece inmediatamente antes de-s o-d. Los archivos pueden ser simples archivos ASCII o ASCII comprimido con gzip, tzip o bzip2. -E permite coincidencias de modelos complejos con operadores lógicos. Si no se proporciona ningún archivo, entrada ASCII normal o comprimido se toma de STDIN. -Un uso recibido fecha en lugar de fecha de envío de-d juego B-búsqueda debe coincidir con el cuerpo B-cuerpo de los mensajes de impresión, pero con sólo encabezados limitados -C Especifique la ubicación del archivo de caché -D Especifique un intervalo de fechas requerido (véase más adelante)

296

Traducido por Sykrayo España

Modo Debug-D

297

Traducido por Sykrayo España

-E explícitamente patrón de la búsqueda de cadenas que comienzan con "-") nombre (cuando -E Especifique una expresión de búsqueda compleja -F Lee los patrones de un archivo -F Fuerza de procesamiento de todos los datos como buzones -H Search debe coincidir con cabecera -H encabezados de impresión pero no los cuerpos de mensajes de correo electrónico que coincidan -I Ignora caso de la expresión de búsqueda -J búsqueda debe coincidir con el estado (A = contestado, R = read, D = eliminado, O = viejo, F = marcado) -L salida los nombres de archivos que tienen un correo electrónico a juego de la expresión -M no buscan no son de texto adjuntos MIME -M Append "X-Mailfolder: <carpeta>" a todas las cabeceras para indicar en qué carpeta la coincidir ocurrido -N Imprimir la información de número de línea (y el nombre si es necesario) para los mensajes de correo electrónico -Q Modo silencioso - no hacer advertencias de salida -R Salida de los nombres de los archivos y el número de mensajes de correo electrónico que coinciden con la expresión Directorios Recurse-R -S Especifica un rango de tamaño en bytes (ver más abajo) -S Ignorar firmas -U Asegúrese de que no hay correos electrónicos duplicados se emiten -V correos electrónicos de salida que no coinciden con la expresión -V Muestra el número de versión -W Coincide límites de las palabras -X Especifique una expresión regular para el separador de la firma -Y Especifica un encabezado a la búsqueda (implica-h) - Help Muestra un mensaje de ayuda Conocer las limitaciones requieren Fecha :: Analizar. la forma Especificaciones de fecha debe ser de: - Una fecha como "hoy", "Jueves primera en junio (Requiere Date ::) de 1992" "05/18/93", "12:30 12 de 1880 "," 20:00 diciembre décimo ", diciembre - "Antes", "después de", o "desde", seguido de una fecha como se ha definido anteriormente, - "Entre <fecha> y <fecha>", donde <fecha> se define como anteriormente. Limitaciones de tamaño debe ser de la forma de: - 12345: match tamaño de exactamente 12.345 - <12.345, <= 12345,> > = 12.345: coincidir con tamaño menor que, menor 12345, que o igual, mayor que, o mayor que o igual a 12.345 - 10.000 a 12.345: match tamaño entre 10000 y 12345 inclusive

298

Traducido por Sykrayo España

logfinder.py: EFF utilidad logfinder. Desarrollado por Ben Laurie y Seth Schoen. Disponible desde http://www.eff.org / osp / A continuación se toma de http://www.eff.org/osp/ logfinder 0.1 - Localice los archivos de registro en los sistemas de Muchos administradores de sistemas no saben exactamente lo que los registros que tienen hasta que hayan examinado la cuestión. A menudo, el registro fue habilitado por defecto - o por los administradores de sistemas anteriores - y por lo que sus sistemas se puede mantener registros que nunca tuvo la intención. Hemos creado un programa llamado logfinder como una forma sencilla de localizar los archivos que pueden ser registros en un sistema existente. logfinder utiliza expresiones regulares para buscar archivos locales con contenidos "log-like", puede personalizar las expresiones si es necesario para satisfacer sus necesidades. logfinder requiere Python 2 o mayor y encuentra registros en archivos de texto en un sistema POSIX. (También puede encontrar algunos datos de inicio de sesión como en archivos binarios si los archivos binarios representan los datos en forma de texto.) A continuación se toma de http:/ / Www.eff.org / nuevos/archives/2005_02.php Logfinder ayuda a eliminar el registro deseado de Datos Personales San Francisco, CA - Hoy la Electronic Frontier Foundation (EFF) publicó logfinder, una herramienta de software para ayudar a las personas a reducir la colección innecesaria de información personal acerca de los usuarios de computadoras. A menudo, los servidores de la red de ordenadores registran automáticamente información acerca de que ha visitado un sitio web y cuándo, o que se envían y reciben correo electrónico. Estos datos dicen mucho sobre navegación de un usuario y los hábitos de correo electrónico y se podrían utilizar de forma privada invasivos. Por otra parte, los datos de registro deberán ser entregados a entidades del gobierno con las órdenes judiciales y pueden ser citados por los bandos opuestos en las causas judiciales. Al encontrar los archivos de registro no deseados, logfinder informa a los administradores del sistema cuando sus servidores están recogiendo datos personales y les da la oportunidad de desactivar el registro si no está recogiendo la información necesaria para la administración del sistema. Logfinder fue concebido por el consultor de seguridad de Ben Laurie y escrita por EFF personal tecnólogo Seth Schoen. Es la intención de complementar el papel de la EFF reciente blanco, "Mejores prácticas para proveedores de servicios en línea", en la que la organización sostiene que los administradores deben eliminar tantos registros como sea posible y eliminar todos los datos de identificación personal de los mismos. "Las personas que optan por seguir nuestras recomendaciones en el libro blanco puede no saber qué tipo de registros que tienen", dijo Schoen. "Logfinder es un ejemplo de una forma de un administrador del sistema podría llegar a ser consciente de la presencia de los registros, así como descubrir información sensible está recogida en los registros conocidos." 299

Traducido por Sykrayo España

El siguiente es del comando: logfinder.py-h ************************************************** ********************* Por favor considere las limitaciones de este programa, que no es capaz de encontrar todos los tipos posibles de archivo de registro o identificar cada posible problema de retención de datos. Ver README para más información. Para obtener más información acerca de la retención de datos, por favor consulte los recursos del FEP para los proveedores de servicios en línea en <http://www.eff.org/osp/>. ************************************************** ********************* Uso: # Logfinder.py [-w] [-l líneas] [-c] [-h | - help] [ruta] [ruta] [...] Con-c o sin ruta, busque la actividad de registro actual en el sistema de archivos abiertos. Con una ruta o rutas especificadas, buscar log-como texto en archivos dentro de la ruta o rutas especificadas. De forma predeterminada, mira las primeras 100 líneas de este tipo de archivos, si no se especifica-l, mira el número especificado de líneas en lugar, si-w se especifica, mira el archivo completo. Para obtener la máxima especifique la ruta "/". cobertura,

300

Traducido por Sykrayo España

logsh: Iniciar la sesión de terminal Desarrollado por Amir Guindehi. Disponible desde http://open.datacore.ch/download/ La siguiente es tomado del archivo README. La Shell Log es un shell restringido que permite una sesión de usuario a no hacer nada más que mirar a un archivo de registro. La Shell sesión hace, en esencia, un "tail-f" en un archivo de registro codificado en el sistema de archivos. El Shell de registro es capaz de filtrar el archivo de registro de acuerdo con las expresiones regulares simples definidos en la lista de filtro y lista de archivos de configuración de grep. Estos filtros permiten que el administrador del sistema para filtrar distancia normal - No importa - los mensajes de registro que permiten al usuario ver sólo los mensajes realmente importantes. Entrar listas de filtros y listas grep se pueden combinar para expresiones lógicas usando & (y), | (o) las expresiones. Además, el usuario tiene la abillity para ver más mensajes de registro sólo contienen patrones específicos (por ejemplo, grep) y para ver únicamente los mensajes de registro procedentes de un host específico. Usted y el uso (y) y | (o) para dar registro de Shell expresiones lógicas de los patrones que tienen que coincidir. La Shell Log permite las marcas caída de usuario en la salida y para añadir nuevas líneas para la producción con fines de separación de mensaje de registro. También es posible borrar la pantalla de salida. El usuario es capaz de volver a cargar las listas de configuración y el filtro de la ejecución de cáscaras de registro mediante el envío de un SIGUSR1 para el proceso o por un comando de usuario. En cualquier momento el usuario puede desplazarse hacia atrás 5kB o 15KB de mensajes de registro de una sola pulsación de tecla. Aplicación Helix Cuando logsh se inició en Helix, muestra la siguiente información: Toda la actividad se registra en ~ / ttylog / Stop log escribiendo exit Reproducción de archivos de registro con: Repetir DATE_tty.log.timing DATE_tty.log En el directorio ~ / ttylog /, el investigador encontrará registros con nombres como: Feb07-171136-tty_0.log Feb07-171136-tty_0.log.timing El archivo. Log es una copia de toda la consola de E / S, mientras que el archivo. Momento se mantiene un seguimiento de la secuencia de comandos para que la sesión se puede reproducir con el comando de repetición. 301

Traducido por Sykrayo España

lshw: Hardware Lister. Creado por Lyonel Vincent, disponible en http://ezix.sourceforge.net / software / lshw.html lshw (Hardware Lister) es una pequeña herramienta para proporcionar información detallada sobre la configuración de hardware de la máquina. Puede reportar configuración exacta, la versión de firmware de memoria, placa base de configuración, la versión de CPU y velocidad, configuración de caché, velocidad del bus, etc en sistemas x86 o EFI (IA-64) DMI-capaces y en algunas máquinas PowerPC (PowerMac G4 se sabe que trabajar). La información puede ser de salida en texto plano, XML o HTML. Es compatible actualmente DMI (x86 y sólo EFI), árbol OpenFirmware dispositivo (sólo en PowerPC), PCI / AGP, ISA PnP (x86), CPUID (x86), IDE / ATA / ATAPI, PCMCIA (sólo probado en x86), USB y SCSI (Vincent, 2006). Uso lshw [formato] [opciones ... ] donde formato puede ser -X para iniciar la interfaz gráfica de usuario (si está disponible) -Htmlto activar el modo HTML Modo de xmlto activar XML -Shortto rutas de hardware de impresión -Businfoto información del bus de impresión y las opciones pueden ser A habilitar TEST -Disable TEST -Clase -CLASE C para permitir una prueba para desactivar una prueba para limitar la salida de una clase dada alias para la clase CLASE

NOTA: para utilizar algunas características (como DMI en plataformas x86), es necesario ejecutar lshw como root o sólo reportará información parcial.

302

Traducido por Sykrayo España

mac-ladrón: ladrón de tumbas de TCT escrito en C. Desarrollado por Brian Carrier. Disponible desde http://www.sleuthkit.org/mac-robber/desc.php A continuación se toma de http://www.sleuthkit.org / mac-ladrón / desc.php mac-ladrón es una herramienta de investigación digital que recoge los datos de los archivos asignados en un sistema de archivos montado. Esto es útil durante la respuesta a un incidente en el análisis de un sistema en vivo o en el análisis de un sistema muerto en un laboratorio. Los datos pueden ser utilizados por la herramienta en mactime El Sleuth Kit para hacer una línea de tiempo de actividad de los archivos. La herramienta de mac-ladrón se basa en la herramienta de ladrón de tumbas de TCT y está escrito en C en lugar de Perl. mac-ladrón requiere que el sistema de archivos sea montado por el sistema operativo, a diferencia de las herramientas en el kit Sleuth que procesan el sistema de archivos propios. Por lo tanto, mac-ladrón no recopilará datos de archivos o archivos borrados que se han ocultado mediante rootkits. mac-ladrón también modificar el Tiempos en los directorios que se montan con los permisos de acceso de escritura. "¿Qué es la mac-ladrón bueno para después", te preguntarás? mac-ladrón es útil cuando se trata de un sistema de archivos que no sea compatible con el kit Sleuth u otras herramientas de análisis del sistema de archivos. mac-C ladrón es muy básico y debería compilar en cualquier sistema UNIX. Por lo tanto, puede ejecutar mac-ladrón en un sistema de archivos UNIX sospechoso desconocido que se ha montado de sólo lectura en un sistema de confianza. También he utilizado mac-ladrón durante las investigaciones de los sistemas UNIX comunes como AIX. USO mac-ladrón toma una lista de directorios para analizar como argumentos. Por ejemplo, para analizar los directorios 'mnt' y 'mnt2' y enviar la salida a un archivo: # Mac-ladrón mnt mnt2> data / body.mac Si desea analizar el sistema desde el directorio raíz y enviar los datos a un servidor que ejecuta netcat, utilice: # Mac-ladrón / | nc 10.0.0.1 8000 El servidor se ejecuta algo como: # Nc-l-p 8000> body.mac Para analizar los datos, se necesita la herramienta mactime del kit Sleuth. Utilice la bandera-b para importar el archivo del cuerpo: # Mactime-b body.mac 01/01/2001> timeline.01-01-2001 COMENTARIOS

303

Traducido por Sykrayo España

- Este archivo se utiliza la función readdir y por lo tanto se actualiza el tiempo de acceso a directorios. Por lo tanto, si usted va a hacer animage de los discos, hacer eso primero. Además, los módulos del núcleo maliciosos podrían producir datos incorrectos cuando se ejecuta en un host comprometido. - Asegúrese de que usted no escribe la salida de este programa a una unidad en el sistema comprometido, puede sobrescribir los datos asignados.

304

Traducido por Sykrayo España

mac_grab.pl: e-fensa utilidad momento MAC. Desarrollado por Drew Fahey. Avda.ailable de www.e-fense.com Lo siguiente es tomado del comando mac_grab.pl. Uso: mac_grab.pl [-DRV] {directorio} -DEncienda opción de depuración -Rturn off Recusion -Vverbose Salida de ejemplo:
# Mac_grab.pl bin -------------------------------------------------- --------------------------| MAC_GRAB POR E-FENSE, INC | ----------------------------- MAC TIMES salida ------------------ -----------DATETIMESIZE MAC PERMSOWNERGROUPFILE ================================================== =========================== Dic 10 2003 22:35:46 61994 mac -Rwxr-xr-x raíz knoppix bin / root-tail May 109 mac -Rwxr-xr-x raíz knoppix bin / iem 16 2004 1:02:33 o firewire_start.sh May 84 mac -Rwxr-xr-x raíz knoppix bin / bre 16 2004 1:02:57 o firewire_stop.sh May 17 2004 22:56:35 79618 mac -Rwxr-xr-x raíz knoppix bin / bclump o

305

Traducido por Sykrayo España

md5deep: md5sum recursiva con búsquedas db. Desarrollado por el Agente Especial Jesse Kornblum de los Estados Oficina de la Fuerza Aérea de los Estados de especial Investigaciones. Está disponible a partir de http://md5deep.sourceforge.net / md5deep es una herramienta multiplataforma que puede calcular las firmas MD5 de los ficheros. md5deep es similar a la suma md5, pero también puede procesar directorios recursivos, producen un plazo de ejecución estimado, comparar los archivos de conjuntos de hash conocidos, y estar configurado para sólo procesar ciertos tipos de archivos. También existen herramientas compañero que calcularán SHA-1, SHA-256 Tiger, o mensaje hidromasaje resúmenes de los archivos también. El siguiente fue tomado de http://md5deep.sourceforge.net/manpage.html SINOPSIS
md5deep -V |-V |-h md5deep [-M |-M | X | X-<file>] [-a |-A <hash>] [-nwzres0lbkq] [-o <fbcplsd>] [FICHEROS]

DESCRIPCIÓN
Calcula el hash o resumen del mensaje, para cualquier número de archivos, mientras que opcionalmente recursiva cavar a través de la estructura de directorios. También se puede tomar una lista de hashes conocidos y mostrar los nombres de archivo de los archivos de entrada cuyos valores hash bien hacer o no coinciden con ninguno de los hashes conocidos. Errores son reportados en el error estándar. Si no se especifica ningún archivo, se lee de la entrada estándar. -R Activa el modo recursivo. Todos los subdirectorios se desplazan. Tenga en cuenta que el modo recursivo no puede ser utilizado para examinar todos los archivos de extensión de archivo agiven. Por ejemplo, llamar md5deep-r *. Txt examinará todos los archivos en los directorios que terminan en. Txt. Muestra un indicador de progreso y la estimación del tiempo restante para eachfile está procesando. Las estimaciones de tiempo para archivos de más de 4GB no están disponibles en Windows.

-E

-M <archivo> Activa el modo de juego. El archivo especificado debe ser una lista de hashes conocidos. Los archivos de entrada se examinan una a la vez, y sólo los archivos que coinciden con la lista de hashes conocidos son de salida. Esta opción puede ser utilizada más de una vez para añadir varios conjuntos de hashes conocidos. Los formatos aceptados para las listas de hashes conocidos son evidentes (como los generados por md5deep o md5sum), archivos Hashkeeper, iLook, y la Biblioteca Nacional de Referencia de Software (NSRL) preparadas por el Instituto Nacional de Estándares en tecnología. Si la entrada estándar se utiliza con la opción-m, muestra "stdin" si la entrada coincide con uno de los hashes en la lista de hashes conocidos. Si el hash no coincide, el programa muestra ninguna salida.

306

Traducido por Sykrayo España

Esta bandera no se puede usar en conjunción con el-X,-X, o-Un bander as. -X <archivo> Igual que el flag-m anterior, pero hace juego negativo. Es decir, sólo se muestran los archivos no en la lista de hashes conocidos.

307

Traducido por Sykrayo España

Esta bandera no se puede usar en conjunción con el m-,-H, o-a.

-M y X <archivo> SameAs-my-x arriba, pero muestra el hash de cada archivo que hace (o no) que coincida con la lista de hashes conocidos. -Un <hash> Añade un hash para la lista de hashes conocidos utilizados para el modo de juego, y si no está ya activada, permite el modo de juego. Adición de hashes individuales no pueden, por sí mismo, se utiliza para imprimir los hashes de los archivos coincidentes como el flag-m hace. Cuando se utiliza junto bandera conla-w, el nombre del archivo que se muestra hash de subes sólo la cometidos en la línea de comandos. Esta bandera no se puede usar en conjunción con el-X,-X, o-Un banderas. -Un <hash> Lo mismo que-a anterior, pero no bandera negativo matching.This no puede ser utilizado en conjunción con el m-,-H, o-a. -W En cualquiera de los modos de juego (-m,-M,-x o-X), muestra el nombre del archivo del hash conocido que hacía juego con el archivo de entrada. En cualquiera de los modos de juego (-m,-M,-x o-X), muestra sólo los nombres de archivo de los hashes conocidos que no fueron igualadas por cualquiera de los archivos de entrada. Activa el modo silencioso. Todos los mensajes de error son suprimidos. Activa el modo de tamaño de archivo. Antepone el hash con un dígito representación diez el tamaño de cada archivo procesado. Si el isgreater archivo de 9999999999 bytes (aproximadamente 9,3 GB), el programa de dis-9999999999 juega para el tamaño. a partir de la salida.

-N

-S -Z

-Q Modo silencioso. Los nombres de archivo se omiten -0 Util iza

un carácter NULL (/ 0) para terminar cada insteadofa line

nombres de archivo de procesamiento newline.Usefulfor con extraños caracteres como máximo. -L Permite rutas de archivos relativa. En lugar de imprimir la ruta absoluta de cada archivo, se muestra la ruta de acceso relativa, como se indica en la línea de comandos. Esta bandera no se puede utilizar en conjunción con la bandera-b. Activa el modo de pelado. Tiras de cualquier información que conduzca al directorio de nombres de archivo mostrados. Esta bandera no se puede usar en conjunción con el l-bandera. -K Activa el modo asterisco. El asterisco se inserta en lugar de un espacio de segundo entre el nombre del archivo y el hachís, al igual que en su md5sum (-b) modo binario.

-B

308

Traducido por Sykrayo España

-O <bcpflsd> Activa el modo experto. Permite al usuario especificar qué (y sólo que) los tipos de archivos que se procesan. Transformación todavía se controla con el indicador-r. Las opciones del modo experto

309

Traducido por Sykrayo España

permitidos son: f - archivos regulares b Dispositivos de Bloque c - Character Devices p - Canalizaciones con nombre l - enlaces simbólicos s Sockets d - Puertas de Solaris -H -V -V Muestra una pantalla de ayuda y sale. Mostrar el número de versión y sale. Mostrar información de copyright y de salida.

VALOR DEVUELTO
Returnsa valor de bit basado en el éxito de la operación y el estado de las operaciones correspondientes. 0Success. Tenga en cuenta que el programa se considera successfuleven whenitencountersreaderrors, permiso denegado errores, o encuentra directorios cuando no está en modo recursivo. Hashes 1Unused. En cualquiera de los modos de juego, devuelve este valueif uno o más de los hashes conocidos no fue igualada por ninguno de los archivos de entrada. Entradas 2Unmatched. En cualquiera de los modos de juego, devuelve este valueif uno o más de los valores de entrada no coincide con ninguno de los valores hash conocidas. 64User de error, tales como tratar de todobothpositiveandnegative juego al mismo tiempo. 128Internalerror, la corrupción suchasmemory o ciclo no capturada. Todos los errores internos deben ser reportados a los desarrolladores! Consulte la sección "Bugs Información" a continuación.

310

Traducido por Sykrayo España

ser más astuto que: suite de detección de esteganografía. Desarrollado por Niels Provos. Disponible desde http://www.outguess.org/ A continuación se toma de http :/ / www.outguess.org / ¿Qué es anticiparse? Anticiparse es una herramienta steganographic universal que permite la inserción de información oculta en los bits redundantes de fuentes de datos. La naturaleza de la fuente de datos es irrelevante para el núcleo de anticiparse. El programa se basa en los controladores específicos de datos que extraer bits redundantes y escribir de nuevo después de la modificación. En esta versión se soportan los formatos de imagen JPEG y PNM. En los siguientes párrafos, las imágenes se pueden utilizar como ejemplo concreto de objetos de datos, aunque puede anticiparse utilizar cualquier tipo de datos, el tiempo que se proporciona un controlador. ¿Qué es la esteganografía La esteganografía es el arte y la ciencia de ocultar que la comunicación está sucediendo. Sistemas de esteganografía clásicos dependen de mantener el secreto sistema de codificación, sino esteganografía moderna es detectable sólo si se conoce la información secreta, por ejemplo, una clave secreta. Debido a su naturaleza invasiva, los sistemas de esteganografía dejan rastros detectables dentro de un medio de características. Esto permite que un espía para detectar medios de comunicación que han sido modificados, que revela que la comunicación secreta se está produciendo. Aunque el secreto de la información no se degrada, su naturaleza oculta se revela, derrotando el propósito principal de la esteganografía. ¿Qué anticiparse hacer de manera diferente Para las imágenes JPEG, anticiparse conserva estadísticas basadas en conteos de frecuencia. Como resultado, las pruebas estadísticas sobre la base de recuento de la frecuencia son incapaces de detectar la presencia de contenido steganographic. Antes de la incorporación de datos en una imagen, anticiparse puede determinar el tamaño máximo de mensaje que se puede ocultar al mismo tiempo ser capaz de mantener las estadísticas basadas en conteos de frecuencia. Este enfoque se ha descrito en Niels Provos (2001) Defensa contra Steganalysis Estadística, 10 º Simposio USENIX de Seguridad. Washington, DC, agosto de 2001. Disponible desde http://www.citi.umich.edu/u / Provos / papers / defending.ps Anticiparse utiliza un objeto iterador genérico para seleccionar los bits de los datos deben ser modificados. Una semilla se puede utilizar para modificar el comportamiento del iterador. Está incrustado en los datos junto con el resto del mensaje. Mediante la alteración de la semilla, anticiparse trata de encontrar una secuencia de bits que reduce al mínimo el número de cambios en los datos que tienen que ser hechas. 311

Traducido por Sykrayo España

Incorporación de datos A continuación puede ver un ejemplo de ejecución de anticiparse. La tabla da una explicación de las diferentes columnas de la salida.

312

Traducido por Sykrayo España

$ Ser más astuto que-k "mi clave secreta"-d hidden.txt demo.jpg out.jpg Lectura demo.jpg .... Calidad de compresión JPEG establece en 75 Extraer trozos utilizables: 40059 Bits Corregibles tamaño del mensaje: 21 52.91% bytes 194 bits, codificados 'snark.bz2': 14.712 bits, 1839 Encontrar el mejor incorporación ... 0: 7467 (50,6%) [50.8%], el sesgo 8137 (1.09), salvo: -13, En total: 18,64% 1: 7311 (49,6%) [49.7%], el sesgo 8079 (1.11), salvo: 5, en total: 18,25% 4: 7250 (49,2%) [49.3%], el sesgo 7906 (1.09), salvo: 13, Total: 18,10% 59: 7225 (49,0%) [49.1%], el sesgo 7889 (1.09), salvo: 16, Total: 18,04% 59, 7225: Incorporación de datos: 14712 en 40059 Los bits incrustados: 14744, modificado: 7.225 (49,0%) [49.1%], el sesgo: 7889, tot: 40032, salto: 25288 Estadísticas Foiling: Correcciones: 2590, fracasaron: 1, offset: 122.585494 + 239.664983 Total de bits de cambiar: 15114 (cambio 7225 + sesgo 7889) Almacenamiento en datos de mapa de bits ... Escribir lámina / out.jpg ....

Recuperación de datos Puede recuperar datos de una imagen de la siguiente manera: $ Ser más astuto que-k "mi clave secreta"-r out.jpg hidden.txt Lectura out.jpg .... Extraer trozos utilizables: 40059 Bits Steg Recuperar: semillas: 7225, len: 1839

Uso La siguiente es la página de manual para ser más astuto que Anticiparse 0.2 universal Stego (c) 1999-2001 Niels Provos ser más astuto que [opciones] [<input archivo> [<resultado archivo>]] - [SS] <n> inicio iteración, letra mayúscula para segundo conjunto de datos - [II] <n> límite de iteraciones - Tecla [kK] <key> 313

Traducido por Sykrayo España

- [DD] <nombre> nombre del conjunto de datos - [EE] Error de codificación de corrección de uso -P parámetro <param> pasa al manejador de datos de destino Mensaje-rretrieve partir de los datos -X <n> número de derivaciones clave a ser juzgado -MMark píxeles que han sido modificados -TCollect información estadística -F [+ -] se steganalysis estadística frustrar on / off. El valor predeterminado es encendido.

314

Traducido por Sykrayo España

NOMB RE

ser más astuto que - Herramienta steganographic universales

SINOPSIS ser más astuto que [-emt] [-r] [-k] [-F [+ -]] [-d archivo de datos] [semillas-s] [-i límite] [-x maxkeys] [-p param] [archivo de entrada [ output-file]]

DESCRIPCIÓN Outguessisa steganographic herramienta universal que permite la inserción de información oculta en el bitsofdatasources redundante. La fuente de datos natureofthe es irrelevante para el núcleo de outguess.The programa se basa en los controladores willextractredundant específicos de datos que bits y escribir de nuevo después de la modificación. Actualmente sólo el PPM, PNM, y los formatos de imagen JPEG son compatibles, aunque podría ser más astuto que el uso de cualquier tipo de datos, siempre y cuando se proporcione una guía. Anticiparse utiliza un objeto iterador genérico para seleccionar los bits de los datos deben ser modificados. Una semilla se puede utilizar para modificar el comportamiento del iterador. Está incrustado en los datos junto con el resto del mensaje. Al alterar la semilla, ser más astuto que trata de encontrar una secuencia de bitsthatminimizes la número de cambios en los datos que tienen que estar hecho. Un sesgo se introduce que favorece la modificación de bits que fueron extraídos de un valor alto, y trata de evitar la modificación de los bits que fueron extraídos de un valor bajo. Además, permite anticiparse a la ocultación de twodistinctmessages inthedata, proporcionando así deniablity.It plausibles realiza un seguimiento de la bitsthathavebeenmodifiedpreviouslyandlocksthem.A (23,12,7) Golaycodeis utilizado para la corrección de errores de tolerar colisiones en los errores bits.Artifical bloqueados se introducen para evitar modificar-ción bits que tienen un alto sesgo. OPCIONES Thefollowing opciones de línea de comandos, cuando se especifica como mayúsculas, indicar las opciones para el segundo mensaje. -F [+ -] Especifica que anticiparse debe preservar en frequencycounts.As basados estadísticas consecuencia, no se basa existe ninguna prueba estadística de que el recuento de la frecuencia podrá detectsteganographiccontent.This opción está activada por defecto. -KK clave Clave Specifythesecret utiliza los datos facilitados.

para cifrar y ocultar el mensaje en

-DD datafile Especifique el nombre del archivo que contiene un mensaje a behiddeninthe datos. Semillas-sS Semilla inicial Specifythe el objeto iterador utiliza para

seleccionar

315

Traducido por Sykrayo España

bits en los datos redundantes. Si no hay se especifica, el ningún límite superior iterador usará esta semilla sin necesidad de buscar una inclusión más óptima. Límite-II

316

Traducido por Sykrayo España

Especifique el límite superior para encontrar anoptimaliteratorseed. El valor máximo para el límite es de 65.535. -EE Usar corrección de errores para la codificación y decodificación de datos.

Otras opciones que se aplican a la ejecución general de ser más astuto que: -RRetrieveamessagefrom un object.If datos no se especifica esta opción, ser más astuto que incorporará mensajes. -X maxkeys Si la segunda llave no crea un objeto iterador que tiene éxito en la incorporación de los datos, el programa obtendrá hasta el número especificado de nuevas llaves. -P param Pasa una cadena como parámetro para DataHandler. thedestination FortheJPEG formato de imagen, se trata de la calidad de compresión, puede tomar valores entre 75 y 100.El mayor qualitythe más bits para ocultar un mensaje en los datos disponibles. Píxeles que han sido modificados-MMark. -TCollectstatisticsaboutredundantbitusage.Repeated uso aumenta el nivel de salida. Para el encapsulado de mensajes, es necesario especificar un origen y un nombre de archivo de destino. Anticiparse determina el formato de los datos por el nombre del archivo de extensión. Si no se especifican nombres de archivo ser más astuto que funciona como un filtro y asume el formato de datos PPM. EJEMPLOS Para incrustar monkey.jpg:

el

hidden.txt

mensaje

en

la

imagen

ser más astuto que-k "mysecret out.jpg Y en la otra dirección:

frase de paso "-d hidden.txt monkey.jpg

ser más astuto que-k "mi frase secreta"-r out.jpg message.txt recuperará el mensaje oculto de la imagen. Si desea incorporar un segundo mensaje, utilice: ser más astuto que-k "secret1"-d hide1.txt-E-K "secret2"Dhide2.txt monkey.jpg out.jpg Anticiparse en primer lugar integrar hide1.txt y luego hide2.txt en la parte superior de la misma, el uso de códigos de corrección de errores. El segundo hide2.txt mensaje puede ser recuperada con ser más astuto que-k "secret2"-e-r out.jpg message.txt

317

Traducido por Sykrayo España

pasco: herramienta forense para el análisis de Internet Explorer. Desarrollado por Keith J. Jones. Disponible desde http :/ / www.foundstone.com / resources / proddesc / pasco.htm Lo siguiente es de http://www.foundstone.com/resources/proddesc/pasco.htm Una herramienta de Internet Explorer actividad de análisis forense. Autor: Keith J. Jones, Informática Forense Principal Consultant; Foundstone, Inc. keith.jones @ foundstone.com Derechos de autor 2003 (c) por Foundstone, Inc. http://www.foundstone.com Muchos de los archivos importantes en Microsoft Windows tienen estructuras que son indocumentados. Uno de los principios de la informática forense es que todos los métodos de análisis deben estar bien documentados y repetibles, y deben tener un margen de error aceptable. Actualmente, hay una falta de métodos y herramientas que los analistas forenses pueden confiar para examinar los datos que se encuentran en los archivos de Microsoft propietarias de código abierto. Muchas investigaciones de delitos informáticos requieren la reconstrucción de la actividad en Internet de un sujeto. Dado que esta técnica de análisis se ejecuta con regularidad, hemos investigado la estructura de los datos que se encuentran en los archivos de la actividad de Internet Explorer (archivos index.dat). Pasco, la palabra latina que significa "Examinar", fue desarrollado para examinar el contenido de los archivos de caché de Internet Explorer. El fundamento de la metodología de análisis de Pasco se presenta en el Libro Blanco se encuentra aquí. Pasco analizará la información en un archivo de salida y los resultados en un campo delimitado forma index.dat para que pueda ser importado en su hoja de cálculo favorita. Pasco está diseñado para funcionar en múltiples plataformas y se ejecutará en Windows (a través de Cygwin), Mac OS X, Linux y plataformas * BSD. Uso: pasco [opciones] <filename> Opciones: -D Undelete Actividad Registros -T Delimitador de campo (TAB por defecto) Ejemplo de uso: # Pasco index.dat> index.txt Index.txt abierto como un archivo delimitado por TAB en MS Excel a una mayor ordenación y filtrar sus resultados.

318

Traducido por Sykrayo España

rifiuti: Analizador "Papelera de reciclaje". Desarrollado por Keith J. Jones. Disponible desde http://www.foundstone.com/resuentes / proddesc / rifiuti.htm A continuación se toma de http://www.foundstone.com/resuentes / proddesc / rifiuti.htm Una herramienta de análisis forense Papelera de reciclaje. Autor: Keith J. Jones, Informática Forense Principal Consultant; Foundstone, Inc. keith.jones @ foundstone.com Derechos de autor 2003 (c) por Foundstone, Inc. http :/ / www.foundstone.com Muchos de los archivos importantes en Microsoft Windows tienen estructuras que son indocumentados. Uno de los principios de la informática forense es que todos los métodos de análisis deben estar bien documentados y repetibles, y deben tener un margen de error aceptable. Actualmente, hay una falta de métodos y herramientas que los analistas forenses pueden confiar para examinar los datos que se encuentran en los archivos de Microsoft propietarias de código abierto. Muchas investigaciones de delitos informáticos requieren la reconstrucción de la papelera de reciclaje de un sujeto. Dado que esta técnica de análisis se ejecuta con regularidad, hemos investigado la estructura de los datos que se encuentran en los archivos del repositorio de la papelera de reciclaje (INFO2 archivos). Rifiuti, la palabra italiana que significa "basura", fue desarrollado para examinar el contenido del archivo INFO2 en la Papelera de reciclaje. El fundamento de la metodología de análisis de Rifiuti se presenta en el Libro Blanco se encuentra aquí. Rifiuti analizará la información en un archivo de salida y los resultados en un campo delimitado forma INFO2 para que pueda ser importado en su hoja de cálculo favorita. Rifiuti está diseñado para funcionar en múltiples plataformas y se ejecutará en Windows (a través de Cygwin), Mac OS X, Linux y plataformas * BSD. Uso: Rifiuti [opciones] <filename> Opciones: -T Delimitador de campo (TAB por defecto) Ejemplo de uso: # Rifiuti INFO2> INFO2.txt INFO2.txt abierto como un archivo delimitado por TAB en MS Excel a una mayor ordenación y filtrar sus resultados.

319

Traducido por Sykrayo España

rkhunter: Rootkit Hunter. Desarrollado por Michael Boelen. Disponible desde http://www.rootkit.nl/ A continuación se toma de http://www.rootkit.nl/projects / rootkit_hunter.html Rootkit Hunter es una herramienta fácil de usar herramienta que comprueba máquinas que ejecutan UNIX (clones) para detectar la presencia de rootkits y otras herramientas no deseadas. Los rootkits son selfhiding herramientas utilizadas por blackhats / galletas / scriptkiddies para evitar el ojo del administrador de sistemas. El cazador rootkit es capaz de detectar las siguientes amenazas:
55808 Troya - Variante A ADM W0rm AjaKit APA Kit Apache Gusano Ambiente (arca) Rootkit Rootkit Balaur BeastKit BEX2 BOBKit Kit abuso Cinik Gusano (Slapper.B variante) de DannyBoy RootKit Devil Dica Dreams Rootkit Rootkit Duarawkz Flea Linux FreeBSD Rootkit Rootkit Mierda `que Rootkit GasKit La heroína LKM IgnoKit Rootkit HJC ImperalsS-fBRK Irix Rootkit Kitko Knark Li0n Gusano Lockit / LJK2 mod_rootme (Apache backdoor) MRK NI0 Rootkit NSDAP (RootKit para SunOS) Kit óptico (Tux) Oz Rootkit Portacelo R3dstorm Toolkit Rootkit de RH-Sharpe Rootkit Desollador Gusano apagado SHV4 Rootkit del RSHA Sin SHV5 Rootkit Rootkit Slapper Rootkit Sneakin SucKIT SunOS Rootkit Superkit TBD (BackDoor Telnet) TeLeKiT T0rn Rootkit Trojanit Kit URK (RootKit universal) VcKit Volc Rootkit X-Org SunOS zaRwT.KiT Rootkit Rootkit anti antisniffer LuCe LKM THC Backdoor

La siguiente es tomado de la orden: rkhunter - help
Rootkit Hunter 1.2.7, Derechos de autor 2003-2005, Michael Boelen Rootkit Hunter viene con ABSOLUTAMENTE NINGUNA GARANTÍA. Esto es software libre, y usted puede redistribuirlo bajo los términos de la Licencia Pública General GNU. Ver su licencia para más detalles.

Parámetros válidos: - Checkall (-c): Sistema de Entrada - Createlogfile *: Crear archivo de registro - Cronjob: Ejecutar como tarea programada (elimina el diseño de color) - Display-logfile: Mostrar archivo de registro al final de la salida - Help (-h): Muestra esta ayuda - Nocolors *: No utilizar colores para la salida - En modo de informe *: No mostrar información interesante para los informes - Solo-informe-warnings *: Mostrar sólo advertencias (de salida menor que - de modo

320

Traducido por Sykrayo España

informe, más - quiet) - Skip-application-verificación *: No ejecute comprobaciones de versión de la aplicación - Skip-pulsación *: No te esperar después de cada prueba (no interactivo) - Quick *: Realizar análisis rápido (en lugar de análisis completo)

321

Traducido por Sykrayo España

- Quiet : Calla (sólo muestran advertencias) * - Actualización: Ejecute la herramienta de actualización y comprobar si hay actualizaciones de bases de datos - Versión: Muestra la versión y salir - Versioncheck: Comprobar la última versión Bindir <bindir> *: Use <bindir> lugar de usar por defecto binarios Configfile <archivo> *: Utilizar el archivo de configuración diferente Dbdir <dir> *: Use <dbdir> directorio de bases de datos Rootdir <rootdir> *: Use <rootdir> en lugar de / (barra inclinada al final) Tmpdir <tempdir> *: Use <tempdir> como directorio temporal

Opciones de análisis explícitos: - Allow-ssh-root-usuario *: Permitir el uso del usuario root SSH - Disable-md5-check *: Deshabilitar comprobaciones MD5

login

- Disable-passwd-check *: Desactivar los controles passwd / grupo - Scan-knownbad-files *: Realice además de "buena conocida" chequeo Se permiten varios parámetros *) Parámetro sólo se puede utilizar con otro

verificación de un "malo conocido"

parámetros

A continuación se toma de http://www.rootkit.nl/articles / rootkit_hunter_faq.html Rootkit Hunter me dice que hay algo mal con mi sistema, ¿qué hacer? (1) Si su sistema está infectado con un rootkit, es casi imposible limpiarlo (digamos con una garantía completa de que está limpio). Nunca te fíes de una máquina que ha sido infectado con un rootkit, ya que oculta es su propósito principal. Una instalación limpia del sistema se recomienda después de la copia de seguridad del sistema completo. Así que seguir los siguientes pasos: 1. Obtener el anfitrión offline 2. Copia de seguridad de sus datos (tanto como sea posible, incluyendo binarios y ficheros de registro) 3. Verificar la integridad de estos datos 4. Instale su anfitrión con una nueva instalación 5. Investigar los viejos archivos de registro y las herramientas utilizadas posibles. También investigar los servicios que eran vulnerables en el momento de corte. (2) Si sólo una comprobación falla, es posible que usted tiene lo que se llama falso positivo. A veces esto sucederá debido configuraciones personalizadas o binarios modificados. Si es así, por favor valide: Archi vos: - "Cadenas <archivo>" y compruebe que las rutas de archivos no confiables (cosas como / dev / .hiddendir) - Actualizado recientemente binarios y su fuente original. Si es por una actualización, por 322

Traducido por Sykrayo España

fav or me env ía

un URI al archivo modificado (como un RPM), por lo que puedo añadir nuevos hashes de las bases de datos. - "Presentar <archivo>" y compararlos con otros (especialmente los binarios de confianza). Si algunos binarios están vinculadas estática y otros son dinámicos, lo que podría haber sido troyaneados.

Otras advertencias: Si usted tiene una advertencia sobre otra parte de los cheques, por favor rellene el formulario de contacto y me dicen algo acerca de la configuración del sistema.

323

Traducido por Sykrayo España

bisturí: Fast File Carver Desarrollado por Golden G. Richard III. Disponible desde http://www.microforensics.com / A continuación se toma de http://www.microForensics.com / Scalpel es una herramienta forense para detectar, aislar y recuperar artefactos de datos de los medios informáticos en investigaciones forenses. Búsquedas bisturí discos duros, imágenes bitstream, archivos de espacio no asignado, o cualquier archivo informático para las características seleccionadas, contenidos o atributos, y produce informes sobre las ubicaciones y los contenidos de los artefactos que encuentra durante el proceso de descubrimiento electrónico. Bisturí también 'talla' (produce copias de) los artefactos encontrados en archivos individuales. El siguiente es del comando: bisturí h
Versión 1.53 bisturí Escrito por Golden G. Richard III, sobre la base de todo, 0,69 Carves archivos de una imagen de disco basado en los encabezados y pies de página de los archivos. Uso: bisturí [-b] [-h | V] [-v] [-s num] [-i <archivo>] [-o <outputdir>] [-n] [-c <config archivo>] <imgfile > [<imgfile>] ... -B Carve archivos incluso si los pies de página definidos no se descubren dentro de la máxima talla de tamaño para el tipo de archivo [sobre todo el modo compat 0.69] -C Elija el archivo de configuración -H Mostrar este mensaje de ayuda y termina -I leer los nombres de los archivos para cavar de un archivo -O directorio de salida para archivos tallados -N No añada extensiones a los archivos extraídos -R Buscar sólo la primera de la superposición de encabezados / pies de página [Modo principal 0.69 compat] -S Skip n bytes en cada imagen de disco antes de tallar -V Imprimir la información del copyright y de salida -V Modo detallado

324

Traducido por Sykrayo España

sdd: Specialized dd w / un mejor rendimiento. Desarrollado por Jörg Schilling. Disponible desde http://directory.fsf.org / sysadmin / Copia de seguridad / sdd.html A continuación se toma de http://directory.fsf.org/sysadmin / Copia de seguridad / sdd.html sdd es un sustituto de un programa llamado dd. SDD es mucho más rápido que en los casos en que dd tamaño de bloque de entrada (IBS) no es igual al tamaño del bloque de salida (OBS). Las estadísticas son más fáciles de entender que los de dd. Opción de sincronización disponible, en tiempo imprimirá velocidad de transferencia Timing & Estadísticas disponibles en cualquier momento con SIGQUIT (^ \) se puede buscar en la entrada y salida rápida nula entrada de salida nula rápido. Soporte para el protocolo RMT (servidor remoto Tape) hace E / S remotas rápido y fácil. La siguiente es la página de manual de sdd.
NOMB RE sdd - volcado de disco y restauración realizadas en cinta o archivo, copiar y / o reblock

SINOPSIS sdd [opción bandera]

=

valor]

[-

DESCRIPCIÓN Sdd copia el archivo de entrada especificado en un archivo de salida especificado esté haciendo las conversiones solicitadas. La entrada y la salida estándar se utilizan de forma predeterminada. La entrada y la salida tamaño de bloque pueden ser especificados para tomar ventaja de las materias primas que física / O. Después de la terminación, SDD informa del número de registros enteros, la suma de los bytes de entrada parcial y bytes de bloques y el importe total en kilo salida en inout y de salida. Ifibsandobsdiffer, sddis más rápido que dd debido a la utilización de un algoritmo inteligente. OPCIONES -HelpPrint un resumen de la disposición opciones.

if = nombre De entrada se toma del nombre de archivo, por defecto es la entrada estándar. Si sdd se instala suid root, el nombre puede estar en la sintaxis remota: user @ host: nombre de archivo como en rcp (1), aun cuando invoca los usuarios que no sean root. Ver NOTAS SUID para más información. Para hacer un archivo local a pesar de que incluye dos puntos (:), el nombre del archivo debe empezar por: '/' o '.. /' '/'. = nombre de La salida se toma del nombre de archivo, por defecto es stdout.

325

Traducido por Sykrayo España

Tenga en cuenta que sdd crea y trunca el fichero de salida de forma predeterminada, por lo que la oseek = # opción es inútil sin la notrunc opción, excepto en casos especiales, tales como el uso de cinta magnética o archivos especiales de disco. Si sdd se instala suid root, el nombre puede estar en la sintaxis remota: user @ host: nombre de archivo como en rcp (1), aun cuando invoca los usuarios que no sean root. Tenga en cuenta que si las conversaciones sdd a un servidor de cinta remota rmt edad, lo hace

326

Traducido por Sykrayo España

No abra un archivo remoto con el O_CREAT abierto flagbecausethis wouldbeextremelydangerous.If el servidor RMT en el otro lado es el servidor rmt que comeswithstarortheGNUrmt servidor, sdd puede utilizar el modo simbólico para el abierto flags.Only los modos abiertos simbólicos permiten enviar todos los posibles modos en los modos una manera portátil a los servidores remotos de cinta. Se recomienda utilizar el servidor rmt que viene con la estrella. Es el único servidor rmt que da independiente de la plataforma de compatibilidad con BSD, Sun y los clientes GNU rmt e incluye funciones de seguridad que puedan crearse en / etc / default / rmt.

-Inull No leer la entrada de file.This issimilartoif = / dev / zero butmuch faster.Sdd utiliza un tampón de aclarado preparado para escribe. satisfacer -Onull No produce ningún resultado. Esto es toof similares = / dev / nullbut realidad no escribe en ningún archivo. ibs = #, obs = #, bs = # Setinputblocksize, el tamaño de bloque de salida, o ambos a # (por defecto 512 Bytes). cbs = # Establecer el tamaño del búfer de conversión a #. ivsize = #, # = ovsize Ajuste el tamaño de volumen de entrada o salida al tamaño del volumen #. Usted puede hacer copias de los dispositivos de diferentes tamaños utilizando esta opción. Si usted desea hacer una copia de una cinta que tiene un tamaño de 60 MBytes que debe utilizar la opción ovsize = 60M. Si se excede la capacidad de la cinta, sdd wil pedir un segundo volumen. En caso de que se supere ivsize, si N <cr> se escribe, se trata como una condición EOF y sdd escribe todos los datos almacenados en el búfer de salida y sale. En caso ovsize se excede, si N <cr> se escribe, se detiene sdd y la estadísticatics que imprime muestran que se leen más datos que escribe. count = # Traslado # de registros de entrada o hasta que EOF. iSeek = #, iskip = # Buscar / saltar las primeras Número de bytes de entrada beforebeginningtrans-fer. oseek = #, # = oskip Buscar / skipthe primero Número de bytes de salida antes de empezar transferencia. buscar skip = # = #, Buscar / saltar las primeras Número de bytes de entrada y transferencia beforebegin-ción de salida. ivseek = #, # = ovseek Busque Número de bytes de entrada / salida en el comienzo de cada volumen de entrada / salida antes de la transferencia comienzo. (Puede omitir las etiquetas de los discos y disquetes

327

Traducido por Sykrayo España

con esta opción.) Tenga en cuenta que las opciones iSeek / oseek todavía funcionan, pero sólo se aplican al primer volumen. Sus valores se añaden a los valores de ivseek y ovseek. -Notrunc No truncar un archivo de salida ya existente antes de comenzar

328

Traducido por Sykrayo España

transfer.This le permite copiar un archivo en otro. -PgPrinta punto para stderr cada vez que se escribe un registro para indicar el progreso. A tiempo,-t Reporte el tiempo total y la tasa de transferencia. -Noerror No deje de transferencia sobre errores de E / S. Messageswillappear de error en la pantalla. -Noerrwrite No escriba los bloques que no se leen corretly. Busque en el outpuesto a saltar el archivo de salida mala block.The debe haber seekableor -Noerrwrite no funcionará correctamente. -Noseek No buscaré errores de E / S. Esto implica tratar = 1. tratar = # Setretry cuenta con #. Sólo se especificó si-noerror. (Por defecto 2) -Debug Activar mensajes de depuración. Usted puede obtener knowledgeaboutrecord tamaños de cintas con registros tamaño, con esta opción. variables -FillPadeveryoutputrecordwith ceros hasta obs.If ibs obs es igual, o sólo se ha especificado bs, cada registro será ceros paddedwith, de lo contrario sólo se aplica al último registro. -SwabSwaps bytes (excepto el último byte en bloque y tamaños impares transferencias extrañas debido a EOF). -Bloque-desbloquear Convertir registros de longitud fija a los registros de variables y viceversa. -Lcase,-ucase Mapa alfabéticos en minúsculas / superior. -ASCII, EBCDIC, ibmConvertEBCDICto resp.ASCII ASCII a EBCDIC resp.ASCII a la variante de IBM EBCDIC. -HelpPrints un breve resumen de las opciones sdd y existe. -Version Prints la cadena de número de versión sdd y existe. EJEMPLOS sdd if = / dev/rsd0a of = / dev/nrst8 bs = 2x7x17b Copia el disco / dev/rsd0a a la cinta / dev/nrst8 usando arecordsize de 2 * 7 * 17 cuadras. (Esto es 2 cilindros.) sdd if = / dev/rsd0c of = / dev/rsd1c seek = 1b bs = 63k Copiar todo el disco sd0 a SD1 preservar la vieja etiqueta en el disco SD1. ARCHI VOS

329

Traducido por Sykrayo España

Ningu no.

330

Traducido por Sykrayo España

VER TAMBIÉN dd (1) estrella (1), RMT (1), tr (1), cp (1) copia (1) DIAGNÓSTICO sdd: Read f registros + p bytes (un total de x bytes = sdd: Wrote d.nnk). f registros + p bytes (un total de x bytes = d.nnk). Thenumber de registros completos, el número de bytes en los registros parciales y del total cantidad de datos en KBytes. Con la señal QUIT NOTAS Opuesto a dd, sdd es capaz de manejar-iSeek-oseek-seekaswellas -Iskip-oskip-skip independientemente del tamaño del búfer. Usted puede hacer su totalidad copia física de un disco sin copiar el etiqueta en una sola pasada de sdd. Cuando los números son sin especificar la se toman como bytes. Usted puede hacer `palabras '(2 bytes), si se siguen bya` w'or 'W'. Youcanmake los bloques (512 bytes), si vienen seguidas de un `b 'o `B '. Usted puede hacer Kbytes (1024 bytes) si vienen seguidas de un `k'or `K '. Youcan hacen Mbytes (1024 * 1024 bytes) si vienen seguidas de un 'M' o 'M'. Usted puede hacer Gbytes (1024 * 1024 * 1024 bytes) si vienen seguidas de un `g 'o' G '. Un par de números se puede separar por `* 'o` x' para indicar un producto. NOTAS SUID Si sdd se instala suid root, sddisabletomakeconnectionsto remotefilesfornonroot users.This se realiza mediante la interfaz rcmd (3) para obtener una conexión a un servidor de RMT (1). Sdd restablece su identificador a la verdadera identificación del usuario inmediatamente después de de usuario efectivo de vuelta settingupthe conexión remota al servidor rmt y antes de abrir cualquier otro archivo. FALL OS (Por lo general ^ \) se muestra el estado actual.

La opción iskip andoskip = # = # = # andskip aswellas-blockand -Desbloquear no se aplican. Itisconfusingtoallow el uso de todos los adiciones, junto con el record contra el recuento, ya que son posibles con obs = #.

331

Traducido por Sykrayo España

sha1deep: sha1sum recursiva con búsquedas db. Desarrollado por el Agente Especial Jesse Kornblum de los Estados Oficina de la Fuerza Aérea de los Estados de especial Investigaciones. Está disponible a partir de http://md5deep.sourceforge.net / sha1deep es una herramienta multiplataforma que puede calcular las SHA1 firmas de los archivos. sha1deep es similar a la suma md5, pero también puede procesar directorios recursivos, producen un plazo de ejecución estimado, comparar los archivos de conjuntos de hash conocidos, y estar configurado para sólo procesar ciertos tipos de archivos. También existen herramientas compañero que calcular MD5, SHA-256 Tiger, o mensaje hidromasaje resúmenes de los archivos también. El siguiente fue tomado de http://md5deep.sourceforge.net/manpage.html SINOPSIS
sha1deep -V |-V |-h sha1deep [-M |-M | X | X-<file>] [-a |-A <hash>] [-nwzres0lbkq] [-o <fbcplsd>] [FICHEROS]

DESCRIPCIÓN
Calcula el hash o resumen del mensaje, para cualquier optionallyrecursivelydiggingthrough offileswhile número del directorio structure.Can tamb tener una lista de hashes conocidos y displaythefilenamesofinput ién Archi whosehashes bien hacer o no coinciden con ninguno de los hashes vos conocidos. Errores son reportados en el error estándar. Si no se especifica ningún archivo, se lee de la entrada estándar. -R Activa el modo recursivo. Todos los subdirectorios se desplazan. Complacer notar que modo recursivo no puede ser utilizado para examinar todas las filesof agivenfileextension. Por ejemplo, llamar md5deep-r *. Txt examinará todos los archivos en los directorios que terminan en. Txt. -E Muestra un indicador de progreso y la estimación del tiempo restante para eachfile está procesando. Las estimaciones de tiempo para archivos de más de 4GB no están disponibles en Windows.

-M <archivo> Activa el modo de juego. El archivo especificado debe ser una lista de hashes conocidos. Los archivos de entrada se examinan una a la vez, y sólo los archivos que coinciden con la lista de hashes conocidos son de salida. Este flagmay beused más de una vez para añadir varios conjuntos de conocida hashes. Los formatos aceptados para las listas de hashes conocidos son evidentes (como los generados por md5deep o md5sum), archivos Hashkeeper, iLook, y la Biblioteca Nacional de Referencia de Software (NSRL) preparadas por el Instituto Nacional de Estándares en tecnología.

332

Traducido por Sykrayo España

Si la entrada estándar se utiliza con la opción-m, muestra "stdin" si la entrada coincide con uno de los hashes en la lista de hashes conocidos. Si el hash no coincide, el programa muestra ninguna salida. Esta bandera no se puede usar en conjunción con el-X,-X, o-Un bander as. -X <archivo> Igual que el flag-m anterior, pero hace juego negativo. Es decir, sólo se muestran los archivos no en la lista de hashes conocidos.

333

Traducido por Sykrayo España

Esta bandera no se puede usar en conjunción con el m-,-H, o-a.

-M y X <archivo> Lo mismo que-m y-x arriba, pero muestra el hash de cada archivo que hace (o no) que coincida con la lista de hashes conocidos. -Un <hash> Añade un hash para la lista de hashes conocidos utilizados para el modo de juego, y si no está ya activada, permite el modo de juego. Adición de hashes individuales no pueden, por sí mismo, se utiliza para imprimir los hashes de los archivos coincidentes como el flag-m hace. Cuando se utiliza junto bandera conla-w, el nombre del archivo que se muestra hash de subes sólo la cometidos en la línea de comandos. Esta bandera no se puede usar en conjunción con el-X,-X, o-Un banderas. -Un <hash> Lo mismo que-a anterior, pero no bandera negativo matching.This no puede ser utilizado en conjunción con el m-,-H, o-a. -W En cualquiera de los modos de juego (-m,-M,-x o-X), muestra el nombre del archivo del hash conocido que hacía juego con el archivo de entrada. En cualquiera de los modos de juego (-m,-M,-x o-X), muestra sólo los nombres de archivo de los hashes conocidos que no fueron igualadas por cualquiera de los archivos de entrada. Activa el modo silencioso. Todos los mensajes de error son suprimidos. Activa el modo de tamaño de archivo. Antepone el hash con un dígito representación diez el tamaño de cada archivo procesado. Si el isgreater archivo de 9999999999 bytes (aproximadamente 9,3 GB), el programa de dis-9999999999 juega para el tamaño. a partir de la salida.

-N

-S -Z

-Q Modo silencioso. Los nombres de archivo se omiten -0 Util iza

un carácter NULL (/ 0) para terminar cada insteadofa line

nombres de archivo de procesamiento newline.Usefulfor con extraños caracteres como máximo. -L Permite rutas de archivos relativa. En lugar de imprimir la ruta absoluta de cada archivo, se muestra la ruta de acceso relativa, como se indica en la línea de comandos. Esta bandera no se puede utilizar en conjunción con la bandera-b. Activa el modo de pelado. Tiras de cualquier información que conduzca al directorio de nombres de archivo mostrados. Esta bandera no se puede usar en conjunción con el l-bandera. -K Activa el modo asterisco. El asterisco se inserta en lugar de un espacio de segundo entre el nombre del archivo y el hachís, al igual que en su md5sum (-b) modo binario.

-B

334

Traducido por Sykrayo España

-O <bcpflsd> Activa el modo experto. Permite al usuario especificar qué (y sólo que) los tipos de archivos que se procesan. Transformación todavía se controla con el indicador-r. Las opciones del modo experto

335

Traducido por Sykrayo España

permitidos son: f - archivos regulares b Dispositivos de Bloque c - Character Devices p - Canalizaciones con nombre l - enlaces simbólicos s Sockets d - Puertas de Solaris -H -V -V Muestra una pantalla de ayuda y sale. Mostrar el número de versión y sale. Mostrar información de copyright y de salida.

VALOR DEVUELTO
Returnsa valor de bit basado en el éxito de la operación y el estado de las operaciones correspondientes. 0Success. Tenga en cuenta que el programa se considera successfuleven whenitencountersreaderrors, permiso denegado errores, o encuentra directorios cuando no está en modo recursivo. Hashes 1Unused. En cualquiera de los modos de juego, devuelve este valueif uno o más de los hashes conocidos no fue igualada por ninguno de los archivos de entrada. Entradas 2Unmatched. En cualquiera de los modos de juego, devuelve este valueif uno o más de los valores de entrada no coincide con ninguno de los valores hash conocidas. 64User de error, tales como tratar de todobothpositiveandnegative juego al mismo tiempo. 128Internalerror, la corrupción suchasmemory o ciclo no capturada. Todos los errores internos deben ser reportados a los desarrolladores! Consulte la sección "Bugs Información" a continuación.

336

Traducido por Sykrayo España

sha256eep: sha1sum recursiva con búsquedas db. Desarrollado por el Agente Especial Jesse Kornblum de los Estados Oficina de la Fuerza Aérea de los Estados de especial Investigaciones. Está disponible a partir de http://md5deep.sourceforge.net / sha256deep es una herramienta multiplataforma que puede calcular las SHA1 firmas de los archivos. sha1deep es similar a la suma md5, pero también puede procesar directorios recursivos, producen un plazo de ejecución estimado, comparar los archivos de conjuntos de hash conocidos, y estar configurado para sólo procesar ciertos tipos de archivos. También existen herramientas compañero que calcular MD5, SHA-1, Tigre, o mensaje hidromasaje resúmenes de los archivos también. El siguiente fue tomado de http://md5deep.sourceforge.net / manpage.html SINOPSIS
sha256deep -V |-V |-h sha256deep [-M |-M | X | X-<file>] [-a |-A <hash>] [-nwzres0lbkq] [-o <fbcplsd>] [FICHEROS]

DESCRIPCIÓN
Calcula el hash o resumen del mensaje, para cualquier número de archivos, mientras que opcionalmente recursiva cavar a través de la estructura de directorios. También se puede tomar una lista de hashes conocidos y mostrar los nombres de archivo de entrada fileswhosehashes sea hacer o no coinciden con ninguno de los hashes conocidos. Errores son reportados en el error estándar. Si no se especifica ningún archivo, se lee de la entrada estándar. -R Activa el modo recursivo. Todos los subdirectorios se desplazan. Tenga en cuenta que el modo recursivo no puede ser utilizado para examinar todas las filesof agivenfileextension. Por ejemplo, llamar md5deep-r *. Txt examinará todos los archivos en los directorios que terminan en. txt. Muestra un indicador de progreso y una estimación del tiempo que queda eachfile está procesando. Tiempo estimaciones para archivos de más de 4GB no están disponibles en Windows. -M <archivo> Activa el modo de juego. El archivo especificado debe ser una lista de hashes conocidos. Los archivos de entrada se examinan una a la vez, y sólo los archivos que coinciden con la lista de hashes conocidos son de salida. Esta opción puede ser utilizada más de una vez para añadir varios conjuntos de hashes conocidos. Los formatos aceptados para las listas de hashes conocidos son evidentes (como los generados por md5deep o md5sum), archivos Hashkeeper, iLook, y la Biblioteca Nacional de Referencia de Software (NSRL) preparadas por el Instituto Nacional de Estándares en tecnología. Si la entrada estándar se utiliza con la opción-m, muestra "stdin" si la entrada coincide con uno de los hashes en la lista

-E para

337

Traducido por Sykrayo España

de hashes conocidos. Si el hash no coincide, el programa muestra ninguna salida. Esta bandera no se puede usar en conjunción con el-X,-X, o-Un bander as. -X <archivo> Igual que el flag-m anterior, pero hace juego negativo. Es decir, sólo se muestran los archivos no en la lista de hashes conocidos.

338

Traducido por Sykrayo España

Esta bandera no se puede usar en conjunción con el m-,-H, o-a.

-M y X <archivo> SameAs comando-x arriba, pero muestra el hash de cada archivo que hace (o no) que coincida con la lista de hashes conocidos. -Un <hash> Añade un hash para la lista de hashes conocidos utilizados para el modo de juego, y si no está ya activada, permite el modo de juego. Agregando solo hashes no pueden, por sí mismo, ser utilizados para imprimir los hashes de archivos coincidentes como el flag-m hace. Cuando usedinconjunction bandera conla-w, el nombre del archivo que se muestra hash de subes sólo el mitted en la línea de comandos. Esta bandera no se puede usar en conjunción con el-X,-X, o-Un banderas. -Un <hash> Lo mismo que-a anterior, pero no bandera negativo matching.This no puede ser utilizado en conjunción con el m-,-H, o-a. -W En cualquiera de los modos de juego (-m,-M,-x o-X), muestra el nombre del archivo del hash conocido que hacía juego con el archivo de entrada. En cualquiera de los modos de juego (-m,-M,-x o-X), muestra sólo los nombres de archivo de los hashes conocidos que no fueron igualadas por cualquiera de los archivos de entrada. Activa el modo silencioso. Todos los mensajes de error son suprimidos. Activa el modo de tamaño de archivo. Antepone el hash con un dígito representación diez el tamaño de cada archivo procesado. Si el isgreater archivo de 9999999999 bytes (aproximadamente 9,3 GB), el programa de dis-9999999999 juega para el tamaño. a partir de la salida.

-N

-S -Z

-Q Modo silencioso. Los nombres de archivo se omiten -0 Util iza

un carácter NULL (/ 0) para terminar cada insteadofa line

nombres de archivo de procesamiento newline.Usefulfor con extraños caracteres como máximo. -L Permite rutas de archivos relativa. En lugar de imprimir la ruta absoluta de cada archivo, se muestra la ruta de acceso relativa, como se indica en la línea de comandos. Esta bandera no se puede utilizar en conjunción con la bandera-b. Activa el modo de pelado. Tiras de cualquier información que conduzca al directorio de nombres de archivo mostrados. Esta bandera no se puede usar en conjunción con el l-bandera. -K Activa el modo asterisco. El asterisco se inserta en lugar de un espacio de segundo entre el nombre del archivo y el hachís, al igual que en su md5sum (-b) modo binario.

-B

339

Traducido por Sykrayo España

-O <bcpflsd> Activa el modo experto. Permite al usuario especificar qué (y sólo que) los tipos de archivos que se procesan. Transformación todavía se controla con el indicador-r. Las opciones del modo experto

340

Traducido por Sykrayo España

permitidos son: f - archivos regulares b Dispositivos de Bloque c - Character Devices p - Canalizaciones con nombre l - enlaces simbólicos s Sockets d - Puertas de Solaris -H -V -V Muestra una pantalla de ayuda y sale. Mostrar el número de versión y sale. Mostrar información de copyright y de salida.

VALOR DEVUELTO
Returnsa valor de bit basado en el éxito de la operación y el estado de las operaciones correspondientes. 0Success. Tenga en cuenta que el programa se considera successfuleven whenitencountersreaderrors, permiso denegado errores, o encuentra directorios cuando no está en modo recursivo. Hashes 1Unused. En cualquiera de los modos de juego, devuelve este valueif uno o más de los hashes conocidos no fue igualada por ninguno de los archivos de entrada. Entradas 2Unmatched. En cualquiera de los modos de juego, devuelve este valueif uno o más de los valores de entrada no coincide con ninguno de los valores hash conocidas. 64User de error, tales como tratar de todobothpositiveandnegative juego al mismo tiempo. 128Internalerror, la corrupción suchasmemory o ciclo no capturada. Todos los errores internos deben ser reportados a los desarrolladores! Consulte la sección "Bugs Información" a continuación.

341

Traducido por Sykrayo España

Stegdetect: suite de detección de esteganografía. Desarrollado por Niels Provos. Disponible desde http://www.outguess.org/detection. Php A continuación se toma de http :/ / www.outguess.org / detection.php Stegdetect es una herramienta automatizada para detectar contenido steganographic en imágenes. Es capaz de detectar varios métodos diferentes esteganográficos para incrustar información oculta en imágenes JPEG. En la actualidad, los sistemas son detectables • jsteg, • jphide (Unix y Windows), • secretos invisibles, • 01.3b anticiparse, • F5 (Análisis de la cabecera), • appendX y camuflaje. Stegbreak se utiliza para lanzar ataques de diccionario contra JSteg-Shell, JPHide y 0.13b anticiparse. Detección automática de nuevos métodos esteganográficos Stegdetect 0.6 compatible con el análisis discriminante lineal. Dado un conjunto de imágenes normales y un conjunto de imágenes que contengan contenido oculto por una nueva aplicación steganographic, Stegdetect puede determinar automáticamente una función de detección lineal que se puede aplicar a todavía imágenes no clasificados. Análisis discriminante lineal calcula un hiperplano divisoria que separa las imágenes no-stego de las imágenes stego. El hiperplano se caracteriza como una función lineal. La función aprendida se pueden guardar para su uso posterior en las nuevas imágenes. Stegdetect soporta varios diferentes vectores de características y calcula automáticamente característica de funcionamiento del receptor que se puede utilizar para evaluar la calidad de 342

Traducido por Sykrayo España

la función de detección automática aprendido. Ejemplo # Stegdetect *. Jpg cold_dvd.jpg: ser más astuto que (antiguo) (***) jphide (*) dscf0001.jpg: negativo dscf0002.jpg: jsteg (***)

343

Traducido por Sykrayo España

dscf0003.jpg: jphide (***) [...] # Stegbreak-tj dscf0002.jpg Cargado 1 archivos ... dscf0002.jpg: jsteg (país de las maravillas) Procesado 1 archivo encontrado 1 incrustaciones. Tiempo: 36 segundos: Grietas: 324123,8915 c / s Para obtener más información sobre cómo funciona Stegdetect y sobre el uso que se pueden encontrar, véase: Niels Provos y Peter Honeyman (2003) Hide and Seek: Una introducción a la Stegangography, IEEE Security & Privacy Revista, mayo / junio. Disponible desde http://niels.xtdnet.nl/papers/practical.pdf La siguiente es la página de manual de Stegdetect
NOMB Stegdetect - encuentra los archivos de imágenes con contenido steganographic RE SINOPSIS Stegdetect [-qhnV] [-s float] [-C num, tfname] [-c archivo ... nombre] [-D archivo] [-d num] [-t pruebas] [archivo ...] DESCRIPCIÓN La utilidad Stegdetect análisis de los archivos de imágenes de contenido steganographic. Se ejecuta pruebas determinar si el contenido es steganographic estadísticas para presentar, y también trata de encontrar el sistema que se ha utilizado para insertar la información oculta. Las opciones son las siguientes: -QOnly informa imágenes carpa. -Honly que es probable que tengan steganographic con-

calcula la DCT histogram.Use la opción-d para disreproducir los valores.

-NEnables comprobación de la información de cabecera JPEG de surpress falsa positives.If activado, todas las imágenes JPEG que contienen campos de comentario será tratado como la comprobación negatives.OutGuess se desactivará si el marcador JFIF no coincide con la versión 1.1. -VDisplays el número de versión del software. -S floatChanges la sensibilidad de los resultados algorithms.Their detección se multiplican por el number.the especificada más alto es el número, más sensible que la prueba become.The predeterminado es 1. C-num, tfname Los vectores de se están extraced del images.The argucaracterísticas

344

Traducido por Sykrayo España

ción número puede ser cero o one.A cero indica que las imágenes proporcionadas no contienen contenidos steganographic, a uno indica que do.The tfname argumento es el nombre utilizado para transformar la función extraction.The características VectorEs

345

Traducido por Sykrayo España

se imprime en la salida estándar. -C fileReads los datos creados por la C-opciones y calcula los valores nece-sarios para detectar el contenido en steganographic aún desconocido images.The opción se puede times.It múltiples espera utilizar que el nombre del esquema proporciona argumento adicional. como El resultado es un objeto de decisión ser utilizado con la Dque puede opción. El objeto contiene una decisión de los parámetros de una función discriminante lineal basado en la Neyman-Pearson teo-rem. -D fileReads un objeto de decisión que contiene información acerca de la detección de un nuevo esquema de steganographic. -D numPrints información de depuración. -T testsSets las pruebas que están en ejecución en la imagen. personajes se entienden: jTests si la información El siguiente

ha sido integrado con jsteg.

oTests si la información se ha integrado con ser más astuto que. pTests si la información se ha integrado con iTests si la información se ha escondido de secretos invisibles. fTests si la información se ha ocultado con F5. FTests si la información se ha ocultado con F5 utilizando un algoritmo de detección más sofisticados, pero bastante lento. aTests si la información se ha añadido al final del archivo, por ejemplo, camuflaje o appendX. por El valor predeterminado es jopifa. El Stegdetect utilidad indica la exactitud de la detección con un número de estrellas detrás del system.If detectado nombres de archivo se han especificado, Stegdetect leerá los nombres de archivo de la entrada estándar. EJEMPLOS Stegdetect-t p auto.jpg Trata de detectar la presencia de información jphide incrustado en auto.jpg. ERRORES Stegdetect sólo funciona para las imágenes JPEG. En la actualidad, no hay soporte para el parámetro training.The solo mando exportado las versiones level.Future sensibilidad exportará toda la detección parámetros a través de un archivo de configuración. jphide.

346

Traducido por Sykrayo España

limpiar: Secure archivo borrado. Desarrollado por Berke Durak. Disponible desde http://abaababa.ouvaton.org/wipe/ A continuación se toma de http://abaababa.ouvaton.org/wipe/wipe.1.html SINOPSIS limpie [opciones] ruta1 path2 ... pathn DESCRIPCIÓN Recuperación de los datos supuestamente borrados de medios magnéticos es más fácil de lo que muchas personas les gustaría creer. Una técnica llamada microscopía de fuerza magnética (MFM) permite a cualquier oponente moderadamente financiado para recuperar las últimas dos o tres capas de datos escritos en el disco; limpie repeadetly sobrescribe patrones especiales para los archivos que se destruyan aplicando la fsync () de llamadas y / o el bit O_SYNC para forzar el acceso a disco. En el modo normal, se utilizan 34 patrones (de las cuales 8 son al azar). Estos patrones se recomienda en un artículo de Peter Gutmann (pgut001@cs.auckland. Ac.nz) Titulado "Eliminación segura de datos de la memoria magnética y de estado sólido". A modo de resumen le permite usar sólo 4 pases con los patrones al azar, lo cual es por supuesto mucho menos seguro. AVISO IMPORTANTE - LEA ATENTAMENTE El autor, los encargados o los contribuyentes de este paquete no se hace responsable, en ninguna manera si toallita destruye algo que no quiere que se destruya. Vamos a hacer esto muy claro. Quiero que asumir que este es un programa desagradable que acabará con las partes de los archivos que usted no quisiera que limpie. Así que pase lo que pase después de iniciar toallita es toda su responsabilidad. En particular, nadie garantiza que limpian se ajustarán a las especificaciones que figuran en esta página manual. Del mismo modo, no podemos garantizar que se limpie realmente borrar datos, o que los datos de borrado no se puede recuperar mediante avanzados. Así que si nasties obtener sus secretos porque vendió un disco duro borrado a alguien que no lo sabe, así, peor para ti. La mejor manera para desinfectar un medio de almacenamiento es someter a temperaturas superiores a 1500K. Como una alternativa barata, podría utilizar limpie a su propio riesgo. Tenga en cuenta que es muy difícil evaluar si se ejecuta limpie en un archivo dado en realidad límpielo que depende de una gran cantidad de factores, tales como: el tipo de sistema de archivos en el archivo reside en (en particular, si el archivo es un sistema de un diario o no), el tipo de medio de almacenamiento usado, y el bit menos significativo de la fase de la luna. Limpiar a través de NFS o sobre un sistema de archivos de registro (ReiserFS, etc) lo más probable es que no funcione. Por lo tanto le recomiendo llamar a borrar directamente en el dispositivo de bloque correspondiente con las opciones apropiadas. Sin embargo esto es algo extremadamente peligroso. Asegúrese de estar sobrio. Dale las opciones correctas. En particular: no limpie el 347

Traducido por Sykrayo España

disco duro entero (por ejemplo, limpie-kD / Dev / hda es malo) ya que esto va a destruir su registro de inicio maestro. Mala idea. Prefiero particiones limpiar (por ejemplo, limpiar-kD / dev/hda2) es bueno, siempre y cuando, por supuesto, que ha realizado una copia de seguridad de todos los datos necesarios.

348

Traducido por Sykrayo España

OPCIONES DE LÍNEA DE COMANDOS -F (force; deshabilitar pregunta de seguridad) Por defecto limpie le pedirá confirmación, indicando el número de archivos y directorios regulares y especiales especificados en la línea de comandos. Debe escribir "sí" para la confirmación, "no" para el rechazo. Puede desactivar la solicitud de confirmación con la opción-f (forzar). -R (recursiva en subdirectorios) Permitirá que la extirpación de todo el árbol de directorios. No se siguen los enlaces simbólicos. -C (chmod si es necesario) Si un archivo o directorio a ser eliminados sin permisos de escritura se ha establecido, va a hacer un chmod para establecer el permiso. -I (de información, el modo detallado) Esto permite que la presentación de informes a la salida estándar. Por defecto todos los datos se escriben en stderr. -S (modo silencioso) Todos los mensajes, excepto la pregunta de confirmación y los mensajes de error, quedarán suprimidos. -Q (trapo rápido) Si se utiliza esta opción, limpie sólo hará (por defecto) 4 pases en cada archivo, escribiendo datos aleatorios. Consulte la opción-Q -Q <number-of-passes> Establece el número de pasadas para limpiar rápido. El valor predeterminado es 4. -A (abortar en caso de error) El programa se cerrará con EXIT_FAILURE si se encuentra un error no fatal. -R (comando de dispositivo de semilla aleatoria o al azar del foro) Con esta opción, que requiere un argumento se puede especificar un dispositivo alternativo / dev / random o un comando que es la salida estándar se aplica un algoritmo hash MD5 hash utilizando. La distinción se puede hacer uso de la opción-S. -S (método de inicialización aleatorio) Esta opción toma un argumento de un solo carácter, que especifica cómo el argumento de semilla aleatoria al azar dispositivo / se va a utilizar. El dispositivo aleatorio por defecto es / dev / random. Se puede configurar utilizando la opción-R. Los posibles argumentos de un solo carácter son: r Si desea que el argumento de que se trata como un dispositivo de archivo / personaje regular. Esto funciona con / dev / random, y también podría trabajar con FIFO y similares. Si desea que el argumento que se ejecuta como un comando. La salida del comando se aplica un algoritmo hash MD5 utilizando para proporcionar la semilla requerida. Ver el WIPE_SEEDPIPE variable de entorno para obtener más información. Si desea borrar para conseguir su semilla numerando las variables de entorno, la fecha y la hora actuales, su ID de proceso. etc (no se utilizará el argumento de dispositivo aleatorio). Esto es, por supuesto, el entorno menos seguro. 349

c

p

Traducido por Sykrayo España

-M (número pseudo-aleatorio de selección generador de algoritmo) Durante los pases al azar, limpie sobrescribe los archivos de destino con un flujo de datos binarios, creado por la siguiente elección de algoritmos:

350

Traducido por Sykrayo España

l

usará (dependiendo de su sistema) generador pseudo aleatorio () o rand () de su libc. Tenga en cuenta que en la mayoría de los sistemas, rand () es un generador de congruencia lineal, lo que es muy débil. La elección se realiza en tiempo de compilación con el HAVE_RANDOM definir (ver el Makefile). usará el cifrado de flujo Arcfour como PRNG. Arcfour pasa a ser compatible con el bien conocido sistema de cifrado RC4. Esto significa que bajo la misma clave, Arcfour genera exactamente la misma secuencia como RC4 ... utilizará el nuevo algoritmo RC6 como PRNG; RC6 está codificado con la semilla de 128 bits, y luego un bloque nulo es repetidamente cifrado para obtener la secuencia pseudoaleatoria. Supongo que esto deberán ser llenados completamente seguro. Por supuesto RC6 con 20 rondas es más lento que random (), la opción de tiempo de compilación WEAK_RC6 le permite utilizar una versión de 4-ronda de RC6, que es más rápido. Con el fin de poder utilizar RC6, limpie debe ser compilado con ENABLE_RC6 definida; ver el Makefile de advertencias acerca de asuntos relacionados con patentes. En todos los casos el PRNG se siembra con los datos recogidos desde el dispositivo al azar (véase-R y-s).

un

r

-L <longitud> Ya que puede haber algunos problemas para determinar el tamaño real de un dispositivo de bloques (como algunos dispositivos no tienen ni siquiera tamaños fijos, como los disquetes o cintas), puede que tenga que especificar el tamaño del dispositivo con la mano, <longitud> es la capacidad del dispositivo expresa como una serie de bytes. Usted puede utilizar K (Kilo) para especificar la multiplicación por 1.024, M (mega) para especificar la multiplicación por 1.048.576, G (Giga) para especificar la multiplicación por 1073741824 y b (bloque) para especificar la multiplicación por 512. Así 1024 = 2b = 1K 20K33 = 20480 +33 = 20513 114M32K = 114 * 1024 * 1024 32 * 1024. -O <offset> Esto le permite especificar un desplazamiento dentro del archivo o dispositivo que se limpió. La sintaxis de <offset> es el mismo que para la opción-l. -E Use el tamaño exacto del archivo: no reunir tamaño de archivo de borrar posible basura que queda en el último bloque. -Z No trate de limpiar los tamaños de archivos dividiendo por la mitad varias veces el tamaño del archivo. Tenga en cuenta que esto sólo se trató de archivos normales por lo que no sirve de nada si se utiliza para la limpieza de limpiar un bloque o un dispositivo especial. -F No trate de limpiar los nombres de archivo. Normalmente, limpie trata de abarcar los nombres de archivos cambiando el nombre de ellos, lo que no garantiza que la ubicación física que contiene el nombre del archivo antiguo se sobrescribe. Además, después de 351

Traducido por Sykrayo España

cambiar el nombre de un archivo, la única manera de asegurarse de que el cambio de nombre se realiza materialmente es llamar a sync (), que vuelca a todas las cachés de disco del sistema, mientras que para ading y la escritura se puede usar el bit O_SYNC para obtener E / S síncrona para una

352

Traducido por Sykrayo España

archivo. Como sincronización () es muy lento, de llamar a sync () después de cada cambio de nombre () hace nombre del archivo limpiando extremadamente lento. -K Mantener los archivos: no desvincular los archivos después de que hayan sido sobrescritos. Es útil si desea borrar un dispositivo, mientras se mantiene el archivo especial de dispositivo. Esto implica-F. Desreferencia enlaces simbólicos: por defecto, acabar nunca seguir enlaces simbólicos. Si se especifica-D sin embargo, va a acabar con su consentimiento para, así, acabar con los objetivos de los enlaces simbólicos que pueden ocurrirle a nombrar en la línea de comandos. No se puede especificar-D y-r Opciones (recursivo), primera causa de posibles ciclos en el grafo directorio de enlace simbólico mejorada, que tendría que realizar un seguimiento de los archivos visitados para garantizar la terminación, la cual, se le admite fácilmente , es un dolor en C, y, en segundo lugar, por temor a tener un dispositivo de bloques (¡sorpresa!) enterrado en algún lugar inesperado. Mostrar información de versión y sale. Mostrar ayuda.

-D

-V -H

EJEMPLOS limpie-FCR / home / berke / plaintext / Limpie cada archivo y cada directorio (opción-r) listada en / home / berke / plaintext /, incluyendo / Home / berke / plaintext /. Archivos regulares serán eliminados con 34 pases y sus tamaños serán entonces reducirse a la mitad de un número aleatorio de veces. Archivos especiales (dispositivos de caracteres y de bloque, FIFO ...) no lo hará. Todas las entradas de directorio (archivos, archivos y directorios especiales) serán renombrados 10 veces y luego no ligados. Las cosas con permisos inadecuados serán chmod () 'ed (opción-c). Todo esto va a suceder sin la confirmación del usuario (opción-f). limpie-kq / dev/hda3 Suponiendo que / dev/hda3 es el dispositivo de bloque correspondiente a la tercera partición de la unidad principal en la interfaz IDE primaria, se limpió en modo rápido (opción-q), es decir, con cuatro pases al azar. El nodo-i no se puede cambiar el nombre o no vinculado (opción-k). Antes de comenzar, se le pedirá que escriba `` sí''. limpie-kqD / dev / floppy Dado que nunca se limpie sigue enlaces simbólicos a menos que explícitamente a hacerlo, si desea borrar / Dev / floppy, que pasa a ser un enlace simbólico a / dev/fd0u1440 tendrá que especificar la opción-D opción. Antes de comenzar, se le pedirá que escriba `` sí''. limpie-rfi> wipe.log / var / log / * A continuación, limpie recursivamente (opción-r) destruir todo en / var / log, excepto / var / log. No intentará chmod () cosas. Sin embargo, será detallado (opción-i). No se le pedirá 353

Traducido por Sykrayo España

que escriba `` Sí'' a causa de la opción-f. limpie-KQ-1440K l / dev/fd0 Debido a diversas idiosincrasias del sistema operativo, que no siempre es fácil obtener el número de bytes de un determinado dispositivo podría contener (de hecho, esta cantidad puede ser variable). Por eso a veces es necesario decir limpie la cantidad de bytes de destruir. Eso es lo que el l-

354

Traducido por Sykrayo España

opción es para. Además, puede utilizar b, K, M y G como multiplicadores, respectivamente, para 2 ^ 9 (512), 2 ^ 10 (1024 o un kilo), 2 ^ 20 (un mega) y 2 ^ 30 (un Giga) bytes . Usted puede incluso combinar más de un multiplicador! Así que 1M416K = 1.474.560 bytes. BUGS / LIMITACIONES Limpiar debería funcionar en discos duros y disquetes, pero la caché interna de algunos discos duros podría prevenir escribe lo necesario para hacer que la superficie magnética. Sería divertido usarlo a través de NFS. Bajo CFS (Sistema de archivos de cifrado) el fsync () llamada no tiene ningún efecto, limpie no ha mucho uso bajo de todos modos - utilizar limpie directamente en los archivos cifrados correspondientes. También, bajo Linux, cuando se utiliza un dispositivo montado a través de un dispositivo de bucle, E / S síncrona no consigue reproducidos limpiamente. Para limpiar discos, al menos en Linux, no hay manera, además de oscuro floppy-driver ioctl específico es determinar el tamaño de bloque del disco. En particular, la BLKGETSIZE ioctl no está implementado en el controlador de disquete. Por lo tanto, para limpiar los discos blandos, debe especificar el tamaño del disquete con la opción-l, como en el último ejemplo. Esta opción normalmente no se necesita para otros dispositivos de bloques fijos, como los dispositivos IDE y SCSI. Nombre de archivo Barrido se implementan desde la versión 0.12. No sé qué tan eficiente es. En primer lugar, cambia el nombre del archivo a un nombre aleatorio generado de la misma longitud, llama a sync (), y luego cambia el nombre a un nombre aleatorio generado de longitud máxima. Barrido tamaño del archivo se implementa mediante el truncamiento repetidamente el archivo a la mitad de su tamaño, hasta que se vacía; sync () es llamado entre dichas operaciones. Tenga en cuenta que todavía no es posible presentar la fecha de creación y bits de permiso portable. Una utilidad acabar el trabajo a nivel de dispositivo de bloque se puede escribir utilizando la biblioteca ext2fs.

355

Traducido por Sykrayo España

Binarios Estáticos
La necesidad de Binarios Estáticos Al realizar una respuesta a incidentes, es posible que los comandos de comandos en el equipo de destino se ha visto comprometida, y modificados para ocultar signos de que el sistema ha sido atacado. Los rootkit a menudo reemplazar utilidades del sistema de comando, como ls, dir, y ps, con la versión modificada para evitar que los usuarios detectar procesos y archivos Rougue. Incluso las bibliotecas dinámicas de comandos en el equipo de destino no se puede confiar. Ahí es donde binarios estáticos llegada a tierra son completos, ejecutables independientes que no dependen de o utilizar cualquiera de los comandos en el sistema de destino. Dado que estos comandos se encuentran en un CD-ROM, no pueden ser comprometidas o sustituyen por los virus, gusanos o rootkits. Estas son herramientas confiables. Una de las formas más comunes para determinar si un sistema ha sido comprometido es comparar la salida del comando ps desde el sistema de destino con el comando ps binaria estática en el CD de hélice. Si existe una diferencia, es posible que el sistema de destino se ha visto comprometida. Estos comandos se pueden ejecutar en un sistema en vivo sin necesidad de reiniciar. Una vez que el CD-ROM está montado, cambie a la carpeta \ Static-Binarios y cambie al directorio específico para el sistema que está siendo investigado. Helix ofrece binarios estáticos para Windows, Linux y Solaris.

Ventanas En un sistema de ventanas, estas herramientas se encuentran disponibles, además de la interfaz gráfica de usuario de Helix. La GUI también proporciona una serie de herramientas de respuesta a incidentes. Los binarios de Win32 son GNU de http://unxutils.sourceforge.net,cortesía de Karl M. Syring. Estas herramientas están ubicados en el directorio / ir en los respectivos directorios. bunzip2.exe cat.exe chgrp.exe chmod.exe chown.exe cksum.exe compress.exe cp.exe csplit.exe cut.exe date.exe df.exe diff.exe du.exe echo.exe env.exe expand.exe find.exe fsplit.exe gawk.exe grep.exe gunzip.exe GZIP.EXE head.exe id.exe less.exe libfl.a libfl.lib ln.exe ls.exe mkdir.exe Mv.exe mvdir.exe pathchk.exe pclip.exe printenv.exe pwd.exe rm.exe rmdir.exe sed.exe Sleep.exe sort.exe su.exe sync.exe tail.exe tar.exe touch.exe uname.exe uniq.exe unrar.exe unzip.exe uudecode.exe uuencode.exe wc.exe which.exe whoami.exe zip.exe

356

Traducido por Sykrayo España

Linux En un sistema Linux, en el directorio \ Static-binarios, hay un script de shell llamado linux-ir.sh. Este es un script de shell respuesta simple incidente que recogerá la información del sistema utilizando los binarios estáticos. El resultado se mostrará en la consola, pero puede ser redirigido mediante la opción estándar >> Linux. linux-ir.sh >> / mnt/sda1/IRoutput.txt Esto le ahorrará la salida a la IRoutput.txt en el / mnt/sda1 dispositivo. El / mnt/sda1 debe montarse en lectura / escritura. Los binarios estáticos de Linux son de http://www.e-fense.com,cortesía de Drew Fahey. Directorio: \ Static-Binaries \ Linux_x86 aldenvkillpathchkstrings arco ex arp Fatbac fiesta k fFind cat arc chgrp hiv chmod o chown fls chroot fmt cksum fsstat todo fusor última lastlog ldd LDE men os ln enla ce nombre_ registro ls lsof pcat meñi que pr printenv procinfo ps pstree pwd rarp read_dataumount readlink readelf uname unexpand desvincular od UNRM ruta search_data siguientes sha1 sha1sum sueño tipo clasifica dor división srch_strings 357 stty do sincro nizaci ón cola tee top touch tsort tty

borra gdb r cp grep mac-ladrón csplit alto mactime cortar headmd5deepresetuniq fech hexdump md5sumrm a dcalchfindmemdumprmdir mkdir dcat icat host MMLS dcgen hostid mmstat dd Identifi más df diff cación mount disk_sreset ifconfig mv disk_stat ifind nc dls ils netstat dmesg img_stat agradabl dstat ISTAT e nohup du eco JCAT jls objdump kern_check

Traducido por Sykrayo España

stat strace

uptime usuario s utmpdu mp vdir v i w w c whe reis que who ami

358

Traducido por Sykrayo España

Solaris Para un sistema Solaris x86 basado en Intel, en el directorio \ Static-binarios, hay un script de shell llamado solaris-ir.sh. Este es un script de shell respuesta simple incidente que recogerá la información del sistema utilizando los binarios estáticos. La salida se mostrará en la consola, pero puede ser redirigido mediante la opción >> estándar de Unix. solaris-ir.sh >> / mnt/sda1/IRoutput.txt Esto le ahorrará la salida a la IRoutput.txt en el / mnt/sda1 dispositivo. El / mnt/sda1 debe montarse en lectura / escritura. Los binarios de Solaris se obtuvieron de http://www.incident-response.org,cortesía de Rob Lee. Directorio: \ Static-Binaries \ solaris_2.7 gat o chgrp chmod chown chroot cksum cp cort ar fech a dd df dirname du eco archiv o factor de env gunzip gzip cabez a hostid icat nombre de host ils id une n lastcomm En nombre de registro ls lsof md5 md5sum mkdir mknod mv nc od pcat printenvuname pwd rm rmdir rmt espe cie dividi da do suma sincr oniza ción cola tar touch uniq UNRM uptime usuari os wc que whoami zcat

359

Traducido por Sykrayo España

Preguntas más frecuentes
¿Qué es Helix? Helix es un CD de arranque basado originalmente en Knoppix, con énfasis en la respuesta a incidentes y análisis forense informático. ¿Cuáles son los requisitos mínimos para ejecutar Helix? Helix necesita mucha memoria RAM y una arquitectura x86 (Intel, AMD, etc.) Es posible conseguir que se ejecuta en un sistema con al menos 48 MB de RAM, pero no esperes mucho (como una interfaz gráfica de usuario). Usted realmente necesita un ordenador Pentium con al menos 128 MB de RAM. Cuanta más memoria RAM, mejor. ¿Cómo instalar Helix? En resumen no instalar la hélice. 1) Grabar la imagen cd (Helix.iso) en un CD. 2) Asegúrese de que su máquina puede arrancar desde un CD. (Comprobar el BIOS) 3) Vuelva a arrancar la máquina con el CD en la unidad de CD-ROM. 4) Utilice Helix. Si desea una instalación permanente de Helix tiene la opción de ponerlo en su disco duro. Hay una secuencia de comandos que lograr que se llama knx2hd. Tenga en cuenta que esto destruirá todos los datos existentes en la partición de instalarlo en. Recibo un mensaje de "ERROR: Sólo un procesador encontró" error Este mensaje no importa. Simplemente ignorarlo. El núcleo de la hélice puede manejar sistemas de varios procesadores, y puede en algunos casos pensar que su sistema puede ser multiprocesador cuando no lo es. Es no es un problema. Me sale el error No se puede encontrar Knoppix sistema de archivos. entonces se me cae a un shell limitada. Después isolinux inicia la primera cosa Helix quiere hacer es descomprimir el sistema de ficheros. Sondas de hélice para el CD en todos los SCSI y los buses IDE. Si no lo encuentra que obtendrá el error anterior. * Esto se fija en todas las versiones desde 1.4 Para portátiles de Transmeta y algunos Sonys con unidades PCMCIA cd Proveedores: hélice ide2 = 0x180 nopcmcia También puede tratar de hélice nodma y / o hélice a prueba de fallos ¿Cómo se licencia Helix? 360

Traducido por Sykrayo España

Helix se basa en la distribución original de Knoppix y conserva todas las licencias originales de esa distribución. Todas las adiciones que he hecho están cubiertos por la GPL o las licencias de los posibles autores.

361

Traducido por Sykrayo España

¿Cuál es la contraseña de root? No hay ninguna contraseña de root. Thisi s integrado en la distribución Knoppix predeterminado que se basa en la hélice. Si necesita acceso root, realice una de las siguientes: 1) ejecutar el comando con 'sudo' 2) Ejecutar 'sudo' ¿El Helix ISO tiene un virus o troyano? Mi programa AV los recoge. Helix no tiene ningún virus o troyanos. Se trata de un falso positivo de su programa antivirus. El escáner de virus se está recuperando en el CD de herramientas (como herramientas Foundstones), que son herramientas de seguridad diseñadas para encontrar los virus / troyanos que están siendo captadas por el escáner de virus. Ellos tienen la misma firma. Tenga la seguridad de que no hay virus / troyanos / backdoors en Helix. Obtener más ayuda Desde Helix es libre, se trata sin ningún apoyo. Si usted tiene preguntas lean la lista de cambios (http://www.e-fense.com/helix/changelog. Php), que le dirá lo que se ha cambiado ya que las versiones anteriores, y echa un vistazo a los foros (http://www.e-fense.com / hélice / forum / index.php)para más información.

362

Traducido por Sykrayo España

Los laboratorios de prácticas
En esta sección, proporcionamos al alumno con varios laboratorios que pueden utilizar para practicar sus habilidades. Labo Título ratori 1a Crear una imagen de un disquete sospechoso (Windows, Live Adquisición, dd) o 1b Crear una imagen de un disquete sospechoso (Windows, FTK Imager) 2 Creación de un disquete de una imagen sospechosa (Windows, FTK Imager)

Próximos laboratorios .... Lab 3 - Imagen previa de disquete sospechoso Lab 4 - Crear una imagen de disco duro sospechoso utilizando netcat

363

Traducido por Sykrayo España

Lab 1a - Crear una imagen de un disquete sospechoso (Windows, Adquisición vivo, dd) Se le ha dado un disquete de un sospechoso, y que desea crear una imagen de ella. En su sistema, inserte el CD de hélice, y una vez que el menú aparece, seleccione el icono de "Adquirir una" "imagen de un sistema Windows utilizando dd" en vivo. Antes de insertar el disco en la unidad, asegúrese de que esté protegido contra escritura. Nuestra fuente será la unidad A: \, nuestro destino será C: \, y el nombre de nuestra imagen será "Floppy01.dd".

Pulse el botón "Inicio Helix adquisición", y se le presentará con un cuadro de previsualización de comandos

364

Traducido por Sykrayo España

Haz clic en "Sí". Ahora recibirá una pantalla de instrucciones que explica lo que debe hacer a continuación:

Haga clic en "Aceptar". La herramienta de shell forense se abrirá:

Una vez que la cáscara se abre, haga clic en el interior del depósito, y seleccione "pegar" en el menú contextual que aparece. La línea de comandos se pegará en la cáscara.

Pulse el botón "Enter" para ejecutar el comando. Después de un minuto el comando terminará. 365

Traducido por Sykrayo España

Ahora habrá 3 archivos en el directorio de destino: • Floppy01.dd - la imagen del disquete • Floppy01.dd.md5 - un archivo que contiene el MD5 del archivo de imagen. • Audit.log - un archivo que contiene el comando y la salida del programa.
Adquisición de Servicios Forenses, 1, 0, 0, 1035 DD, 3, 16, 2, 1035 Copyright (C) 2002-2004 George M. Garner Jr. Línea de comandos: .. \ Adquisición \ FAU \ dd.exe if = \ \ \ R:. De = C: \ Floppy01.dd conv = noerror - Md5sum - verifymd5 - md5out = C: \ Floppy01.dd.md5 - log = C: \ audit.log Basados en la versión original desarrollado por Paul Rubin, David MacKenzie, y Stuart Kemp Microsoft Windows: Version 5.1 (Build Service Pack 2600.Professional 1) 29/09/200504: 39:53 (UTC) del usuario actual: TAL_MC \ bj Gleason no puede mostrar infoCopying dispositivo \ \ \ R:. para C: \ Floppy01.dd ... \ 1d32a686b7675c7a4f88c15522738432 [\ \ \ \ \ \ R:.] * C: \ \ Floppy01.dd Verificación de archivo de salida ... \ 1d32a686b7675c7a4f88c15522738432 [\ \ \ \ \ \ R:.] * C: \ \ Floppy01.dd Las sumas de comprobación no coinciden. Salida C: \ Floppy01.dd 1474560/1474560 bytes (comprimidos / descomprimidos) 360 0 registros en 360 +0 records out

Usted debe examinar el archivo audit.log. Si todo ha ido bien, debería ver que tanto el partido hashes MD5, y verá el mensaje "Las sumas de comprobación no coincide". Si coinciden, eso significa que tienes una copia exacta de las pruebas. Si no coinciden, que por lo general significa que usted tiene un disco malo, y el coche tenía un problema de lectura del disquete. Y eso es todo. Ahora tiene una copia exacta del disco del sospechoso. Imprima el archivo audit.log, lo puso en el sobre de pruebas junto con el disco original, actualizar el formulario de cadena de custodia, y devolver los datos al almacén de pruebas.

366

Traducido por Sykrayo España

Lab 1b - Crear una imagen de un disquete sospechoso (Windows, FTK Imager) Se le ha dado un disquete de un sospechoso, y que desea crear una imagen de ella. En su sistema, inserte el CD de hélice, y una vez que el menú aparece, seleccione el icono de "Adquirir una" "imagen de un sistema Windows utilizando dd" en vivo. Haga clic en el triángulo para ir a la segunda página, el FTK Imager. Antes de insertar el disco en la unidad, asegúrese de que esté protegido contra escritura.

Pulse el botón "Inicio Imager" y el FTK Imager se cargará.

367

Traducido por Sykrayo España

En el menú, seleccione Archivo / Crear una imagen de disco. Seleccione la unidad lógica y haga clic en Siguiente.

Seleccione A: \ en el menú desplegable, y haga clic en Finalizar.

368

Traducido por Sykrayo España

Ahora se debe seleccionar la unidad de destino. Haga clic en "Agregar ..."

Usted puede elegir cualquiera de estos tipos de imágenes. Raw (dd) es el mismo formato que los creados por el comando dd, y es el formato más universal. Smart es la herramienta de análisis SMART ASR datos y E01 es el formato utilizado por EnCase. Asegúrese de que la opción "Raw (dd)" es la selección, y haga clic en Siguiente.

Puede utilizar el botón Examinar para buscar la carpeta que desea crear la imagen pulg Incluya un nombre de archivo de imagen, pero no la extensión - que se añadirá automáticamente. El tamaño del fragmento de imagen se utiliza para dividir las imágenes grandes a trozos que pueden caber en medios extraíbles, como en este caso, para un 650 MB CDROM.Click Finalizar.

369

Traducido por Sykrayo España

Volverá de nuevo a esta pantalla. Clic Inicio.

Normalmente se tarda alrededor de un minuto para duplicar un disco.

Una vez que termine, se mostrará la imagen verificar los resultados, y si todo ha ido bien, debería ver que tanto el MD5 y SHA1 hashes coinciden. Si coinciden, eso significa que tienes una copia exacta de las pruebas. Si no coinciden, que por lo general significa que usted tiene un disco malo, y el coche tenía un problema de lectura del disquete. Haga clic en Cerrar. Puede hacer clic en Cerrar en la pantalla de imagen Creación.

370

Traducido por Sykrayo España

Si mira en la carpeta de destino, debería ver dos archivos: floppy1.001 - esta es la imagen del disquete, y debe ser 1440 KB de tamaño. floppy1.001.txt-se trata de una copia del Imager Verifique pantalla Resultados.

Información para D: \ floppy1: Artículo probatorio Física (Fuente) Información: [Geometry Drive] Bytes por sector: 512 Conde Sector: 2.880 Fuente tamaño de los datos: 1 MB Recuento Sector: 2880 [hashes computarizada] Suma de control MD5: 791453cbcce29c8ff139a48b8a55e2e4 SHA1 checksum: e8af26edd677fefe6e9d7c0c36c2f1b67278869f Información de la imagen: lista de segmento: D: \ floppy1.001 Mar 31 de enero 2006 13:03:46 - Imagen Verificación Resultados: Suma de control MD5: 791453cbcce29c8ff139a48b8a55e2e4: verificado SHA1 checksum: e8af26edd677fefe6e9d7c0c36c2f1b67278869f: verificado

Y eso es todo. Ahora tiene una copia exacta del disco del sospechoso. Imprima el archivo floppy1.001.txt, lo puso en el sobre pruebas junto con el disco original, actualizar la cadena de custodia formar y devolver los datos al almacén de pruebas.

371

Traducido por Sykrayo España

Lab 2 - Crear un disquete de un sospechoso de imagen (Windows, FTK Imager) Después de crear una imagen de disco de un sospechoso, que podría ser una buena idea hacer varias copias físicas duplicadas del disco, por si acaso. Para esta práctica de laboratorio, usted tendrá que descargar la imagen del sospechoso, que es uno de los "análisis de los retos Mes" del Proyecto Honeynet (http://www.honeynet.org). La url de la imagen es http :/ / www.honeynet.org/scans/scan24/image.zip. Descarga el archivo a una carpeta llamada "Lab2" en su estación de trabajo forense. En su sistema, inserte el CD de hélice, y una vez que el menú aparece, use la opción del menú "Quick Launch" para iniciar el FTK Imager. Antes de insertar el disco en la unidad, asegúrese de que esté protegido contra escritura.

En el menú, seleccione Archivo / Crear una imagen de disco.

Seleccione la unidad lógica y haga clic en Siguiente.

372

Traducido por Sykrayo España

Seleccione A: \ en el menú desplegable, y haga clic en Finalizar.

Ahora se debe seleccionar la unidad de destino. Haga clic en "Agregar ..."

Usted puede elegir cualquiera de estos tipos de imágenes. Raw (dd) es el mismo formato que los creados por el comando dd, y es el formato más universal. Smart es la herramienta de análisis SMART ASR datos y E01 es el formato utilizado por EnCase. Asegúrese de que la opción "Raw (dd)" es la selección, y haga clic en Siguiente.

373

Traducido por Sykrayo España

Puede utilizar el botón Examinar para buscar la carpeta que desea crear la imagen pulg Incluya un nombre de archivo de imagen, pero no la extensión - que se añadirá automáticamente. El tamaño del fragmento de imagen se utiliza para dividir las imágenes grandes a trozos que pueden caber en medios extraíbles, como en este caso, para un 650 MB CDROM.Click Finalizar.

Volverá de nuevo a esta pantalla. Clic Inicio.

Normalmente se tarda alrededor de un minuto para duplicar un disco.

374

Traducido por Sykrayo España

Una vez que termine, se mostrará la imagen verificar los resultados, y si todo ha ido bien, debería ver que tanto el MD5 y SHA1 hashes coinciden. Si coinciden, eso significa que tienes una copia exacta de las pruebas. Si no coinciden, que por lo general significa que usted tiene un disco malo, y el coche tenía un problema de lectura del disquete. Haga clic en Cerrar. Puede hacer clic en Cerrar en la pantalla de imagen Creación.

Si mira en la carpeta de destino, debería ver dos archivos: floppy1.001 - esta es la imagen del disquete, y debe ser 1440 KB de tamaño. floppy1.001.txt-se trata de una copia del Imager Verifique pantalla Resultados.

Información para D: \ floppy1: Artículo probatorio Física (Fuente) Información: [Geometry Drive] Bytes por sector: 512 Conde Sector: 2.880 Fuente tamaño de los datos: 1 MB recuento Sector: 2.880 [Hashes computarizada] Suma de control MD5: 791453cbcce29c8ff139a48b8a55e2e4 SHA1 checksum: e8af26edd677fefe6e9d7c0c36c2f1b67278869f Información de la imagen: lista de segmento: D: \ floppy1.001 Mar 31 de enero 2006 13:03:46 - Imagen Verificación Resultados: Suma de control MD5: 791453cbcce29c8ff139a48b8a55e2e4: verificado SHA1 checksum: e8af26edd677fefe6e9d7c0c36c2f1b67278869f: verificado

Y eso es todo. Ahora tiene una copia exacta del disco del sospechoso. Imprima el archivo

375

Traducido por Sykrayo España

floppy1.001.txt, lo puso en el sobre pruebas junto con el disco original, actualizar la cadena de custodia formar y devolver los datos al almacén de pruebas.

376

Traducido por Sykrayo España

Apéndice 1 - Samba archivo de configuración Forense
# Samba Forense archivo de configuración # Parámetros globales [Global] log file = / var / log / samba / log.% m remoto announce = 192.168.1.1/efense max log size = 500 domain master = sí Interfaces = 192.168.1.1/255.255.255.0 dns proxy = No preserve case = Sí passwd program = / usr / bin / passwd% u prefiere master = sí encrypt passwords = sí servidor string = efense Forense Workgroup Server = efense hosts allow = 192.168.1. actualizar cifrada = Sí passwd chat = * New * UNIX * contraseña *% n \ n * Vuelva a escribir * new * UNIX * contraseña *% n \ n passwd: * all * Autenticación * tokens * actualizado * éxito * unix password sync = Yes netbios name = FORENSICS1 Opciones socket = TCP_NODELAY SO_SNDBUF = 8192 = 8192 SO_RCVBUF local master = sí security = share os level = 65 name resolve order = lmhosts acogida bcast # Forensics Compartir información [Imágenes] comment = Imagen de Adquisición de Acciones path = / mnt / images read only = no public = yes = sí Navegable

377

Traducido por Sykrayo España

Apéndice 2 - Comandos de Linux
adduser adduser dsoneil | Este comando añadirá automáticamente un nuevo usuario al sistema | El script de Bash se puede encontrar en / usr / sbin si tiene que haber cambios | El comando alias permite sustituir un nombre nuevo para un comando | Un alias pueden contener opciones de línea de comandos |. A menos que la definición de alias está incluido en el archivo de inicio de sesión es sólo temporal | Mostrar nombres de comandos basado en la búsqueda de palabras clave

alias

alias = ayudan hombre alias largo = ls-al

a propósit o en

apropos palabra clave

a las 1:23 lp / home / index.html | El comando at se ejecuta una lista de comandos a una hora determinada (por ejemplo, print @ 01:23) a las 1:50 echo "Job lp Hecho" | Se utiliza el comando echo para enviar un mensaje a las 1:50 diciendo un trabajo de impresión se realiza en-l | Lista todos los trabajos programados, un alias para el comando atq a-d 5555 | Esto cancelará el trabajo número 5555, un alias para el comando atrm Ejemplo: cat / etc / filename cat archivo.a> archivo.b cat-n archivo.a cat / proc / scsi / scsi | Temporalmente blanco | Imprime archivo especificado a la pantalla | Mueve archivo.a a archivo.b | Esto mostrará el contenido del archivo con números de línea (-b número sólo hay líneas en blanco) | Esto muestra todos los procesos SCSI se ejecutan en el sistema

lote gat o

CD

cd / home / dsoneil cd ~ nombre de usuario chattr + i / etc / passwd chfn dsoneil

| Cambie los directorios a la especificada | Esto le pasará a los usuarios especificados directorio

chattr chfn

| Hace que el archivo con el nombre inmutable. Los atributos no se muestran con ls, el uso lsattr

| Esto le permitirá cambiar la información de ese usuario | Como ejemplo, le permitirá cambiar dsoneil a Darcy S. O'Neil

chmod

chmod 666 nombre de archivo | Este comando dará un archivo Leer - Escribir permiso para todos chmod 777 nombre de archivo | Este comando da Leer - Escribir - permiso de ejecución para todos chmod a file = rwx | Esto le da a Leer - Escribir - permiso de ejecución para todos los usuarios chown DSO / home / html chown DSO / home / archivo.a borra r cmp-s archivo.a archivo.b cp archivo.a archivo.b ls / home | cpio-o> / root cpio-it </ root> bk.indx | Este comando cambia el propietario del directorio especificado para DSO | Este comando cambia el propietario del archivo especificado a DSO | Esto borrará la pantalla

chown

borra r cmp cp cpio cpkgtool cron

| Compares 2 archivos de cualquier tipo. La opción-s no devolverá nada en los archivos arethe misma | Esto creará un duplicado de archivo.a bajo un nuevo nombre de archivo, archivo.b | Esto copiará los archivos de / home en el directorio / root | Esto extraerá todos los archivos en / root y crea un archivo de índice llamado bk.indx | Interfaz gráfica de installpkg, removepkg, makepkg que utiliza ncurses. | Edite su archivo crontab personal | Los principales archivos crontab se pueden encontrar en el directorio / etc

crontab-e

fecha

fecha | Will outout la presente fecha a la pantalla fecha - date = "03/15/2001" | Esto fijará la fecha a 2001-Mar-15 fecha - date = "03/15/2001 11:59" | Esto fijará la fecha y hora df-HT dmesg | Imprime los mensajes de arranque para que pueda localizar errores du-k / home / html du-k / home / html / archivo.a e2fsck / dev/fd0 e2fsck / dev/hda1 | Muestra el tamaño total, espacio utilizado y disponible en todos los sistemas de archivos montados

df dmesg du e2fsck

delespacio uso del en espacio disco, en kb, de la ruta | Proporciona un resumen de disco en utilizado por undentro determinado archivo especificada | Para "scandisk" un disquete (correr mientras el disquete se desmonta) | También puede ser usada para analizar los errores de disco en particiones del disco duro

378

Traducido por Sykrayo España

fc

fc-l

fdformat

fdformat / dev/fd0 fdformat / dev/fd0H1440 fdisk-l / dev / hda fdisk / dev / tuvo

| Listas de las instrucciones previas (Tenga en cuenta que es peligroso fc w / o-l, ya que | Correrá comandos) | Formateo de bajo nivel de una unidad de disquete en la unidad fd0 | Esto Formatear un disco "Double Sided High Density" | Lista de todas las particiones en el disco tenía, con el montaje fuera | N: P, primaria: 1: t, c (Fat 32 LBA)

fdisk

379

Traducido por Sykrayo España

expediente

archivo archivo.a archivo-z file.a.tar archivo-L archivo.a archivo-k archivo.a

| Este comando intentará determinar qué tipo de archivo es archivo.a. (Ejecutivo, texto, etc) | Looks dentro de un archivo comprimido para determinar su tipo. | Sigue los enlaces simbólicos a seguir para determinar el tipo de archivo | No se detenga en la primera prueba emparejado | Busca la cadena especificada (passwd), comenzando en el directorio especificado (/ path) | Todos los nombres de archivos o directorios que contengan la cadena se imprimirán a la pantalla | Esto muestra todos los usuarios actualmente conectados al sistema UNIX | Proporciona una instantánea del uso de la memoria del sistema | Comprobación del sistema de archivos y de reparación | Se trata de un visor de sistema de archivos (Uso F10 para salir)

encontrar

find / ruta-nombre passwd

dedo libre fsck git grep

dedo libre-t-o fsck / hda

| Esto busca y limita la salida de comando para el patrón especificado | En este caso, se imprimen todos los casos de DSO desde el archivo / passwd / etc grep-i "muestra" / home / dsoneil | La opción-i hace que la búsqueda indiferente al caso (por ejemplo, muestra o muestra) groupadd grupos gzip groupadd sudos grupos gzip archivo.a gzip-d file.a.gz tar-zxvf file.a.tar.qz historia | grep sneak historia-d 1061 | Crear un nuevo grupo llamado sudos en el sistema | Muestra los grupos a los que está en | Esto zip archivo.a y darle el file.a.gz extensión | Esto descomprimirá el archivo file.a.gz | La bandera z le permite descomprimir el archivo tar sobre la marcha | Para retrive sus instrucciones previas por "colarse" en alguna parte. 6/00 | Para borrar la entrada historia 1061, que puede ser una contraseña en texto plano. | Obtener o establecer el nombre de host. Por lo general, el nombre de host se almacena en el archivo / etc /

cat / etc / passwd | grep DSO

historia

nombre de host HOSTNAME. ifconfig

ifconfig eth0 | Esto mostrará el estado de la interfaz definida actualmente (tarjeta Ethernet por ejemplo, 0.) Ifconfig eth0 | Esta opción hace que el iterface se active (Para desactivar una interfaz de uso abajo) ifconfig eth1 192.168.0.2 hasta | Hace eth1 activa con la dirección IP 192.168.0.2 | Utilizado (por root) para instalar los controladores de dispositivos modulares installpkg-r packagename.tgz | Esto instalará un paquete de Slackware con el nombre especificado (opción-r) | Este comando se utiliza para aceptar o denegar el acceso a su sistema | Esto bloqueará la dirección IP 24.1.50.25 accedan a su sistema | Este comando va a negar su sistema accediendo a esta dirección IP | [-A append] [fuente-s] [-d destino] [-j unirse] | Esto muestra todos los trabajos que actualmente se ejecutan en el sistema | GUI para añadir / quitar módulos del kernel (como root en la terminal X). matar a kill -9 2587 | Muertes del proceso especificado por el número de identificación de proceso (2587) | La bandera -9 fuerza al proceso de morir | Imprime en la pantalla el nombre de usuario, ubicación, inicio de sesión y desconectarse | Último |-X inicios de sesión en el sistema. El nombre de usuario seleccionará la última vez que x | Ha utilizado el sistema. El último comando no es rastreable.

insmod installpkg ipchains

ipchains [-A-s-d-j] [Entrada / Salida] ipchains-A input-s 24.1.50.25-j DENY ipchains-A output-d 24.1.50.2-j DENY

trab ajos kernelcfg matar 2587

trabajos

últi mo

última -300 tiempos de última -5 nombre de usuario persona

lastlog

lastlog

| Muestra una lista de los intentos / horas de inicio de sesión de todos los usuarios del | Sistema (control de seguridad) | Mostrar fragmento biblioteca Dependencias | Menos de una pantalla a la vez muestra la información, también podrá página | Ida y vuelta | Para escribir o corregir arrancar config en el disco. Utilice este comand después | Modificando / etc /

ldd menos index.html lilo

ldd. / test.exe menos / html /

lilo-v

380

Traducido por Sykrayo España

lilo.conf | Haga esto antes de reiniciar (para evitar "LIL-" en el arranque) si ha sido | Hace tiempo lilo-b / dev/fd0 Este comando crea un disco de arranque ln ln-s / usr / DSO. / home / html | Crea un enlace "simbólico" en el primer directorio o archivo en el segundo. |. Un usuario cambiar en / home / html en realidad por objeto el Directorio / usr / DSO |.

381

Traducido por Sykrayo España

localiz ar lpr

localizar wordperfect lpr / home / html / index.html lprm 12 lpq ls-al

| El comando locate localizará el archivo especificado salida aand un | Ruta del directorio (ver "updatedb") | Este comando imprimirá el archivo index.html a la impresora

lprm lpq ls

| Este comando cancelar el trabajo de medio litro 12 en la cola de impresión | Esto mostrará el contenido de la cola de impresión | Muestra toda la información de todos los ficheros (-a) en el directorio actual en una sola línea | Formato (-l). Incluye permisos, propietarios, fecha de modificación, tamaño de archivo | Y el nombre | Marcas (directorios con un / final) - (ejecutables con *) | (Enlaces simbólicos w / @) | Esto ist todo IP4 (enmascaramiento) entradas en el sistema | Directorios de procesos | Lista de archivos por última vez el acceso | Usado (de raíz) para mostrar los módulos del kernel cargados actualmente

ls-F ls / proc/sys/net/ipv4 ls-Alru lsmod lsof lsof | grep: <número lsof-i netstat. lsof-t lspci hacer mrproper make menuconfig

lspci hacer

| Esto le mostrará lo que el programa tiene que abrir el puerto. | Esto mostrará las conexiones a Internet como | Esto mostrará los procesos | Listas de los dispositivos PCI

make modules

| Limpia basura accidentalmente dejó el equipo de desarrollo | Esto le hará una serie de preguntas sobre su sistema y |requisitos de disco make dep | Esto utilizará las dependencias make clean | El comando de limpieza va a limpiar los archivos innecesarios dejó por ahí make bzImage | Esto comenzará el proceso de compilar su nuevo núcleo hacer ln | Esto especifica que la fuente se compila en un sistema Linux make install | Después de que el comando make esto instalará los binarios compilados para | Sus directorios | Esto compilará todos los módulos necesarios hacer modules_install | Esto instalará módulos en el directorio / lib / modules man vi | Imprime la página del manual sobre el tema específico (vi) a la pantalla. Para desplazarse hacia | La página de la barra espaciadora, para desplazarse hasta el uso de la letra b, para salir pulse q.

hombre abajo

md5sum

md5sum filename.tgz perfectamente md5sum-b md5sum-t mkdir pascal mkfs-t msdos-c-v / dos-drive mkfs-t xfs-c-v / home bloques defectuosos mkfs.vfat-v-F32-n DATA / dev/hda1 más / home / html /

| Para garantizar una copia entre máquinas salió | Lee archivos en modo binario | Lee archivos en modo texto | Esto creará nuevo directorio (pascal) en el directorio actual | Da formato a una partición y construye un nuevo sistema de archivos en él |-T especifica el tipo de sistema de archivos,-v produce una salida detallada,-c comprueba |-N volumen de etiquetas | Pagina el archivo especificado para que pueda leerse línea a línea (mediante la tecla Enter) o | Pantalla a pantalla utilizando la barra espaciadora. Use la tecla b para moverse hacia atrás y q para salir. | Monta la partición MS-DOS en el disco duro (hda5) en el directorio / dos | Permite montar el CD-ROM en el directorio / cd | Monta la unidad de disco con un sistema de archivos msdos a / mnt | Intenta montar todos los sistemas de archivos ubicados en el archivo / etc / fstab | Mueve el archivo especificado en otro directorio | Esto nos dará una lista de los servidores TCP actualmente en ejecución que | Está escuchando en un puerto | Esto listará todos los puertos TCP y UDP abiertos | Este comando ajusta la prioridad de un proceso antes de que comience | Cuanto mayor sea el número, menor es la prioridad. Todo proceso de inicio a las 10 | Esto puerto escanear el servidor "localhost" para determinar los puertos abiertos | Esto comprobará minuciosamente todos los puertos en el sistema (UDP y TCP)

mkdir mkfs

más index.htm

montar

mount-t msdos / dev/hda5 / dos mount-t iso9660/dev/sr0 / cd mount-t msdos / dev/fd0 / mnt mount-a / etc / fstab mv. / home / archivo. / DSO / archivo netstat-tap | grep LISTEN

mv netstat

netstat-t-u-a bonito two.b nmap bonito -5 especie one.A>

nmap localhost nmap-sT-sU-p 1-65535 localhost

382

Traducido por Sykrayo España

nohup passwd passwd

| Este comando permite que un proceso continúe después de que finalice la sesión | Inicia el programa de contraseña para que el usuario puede cambiar su contraseña

383

Traducido por Sykrayo España

ps estado

ps ps-ef | grep dsoneil

| Lista todos los procesos actuales de funcionamiento, sus correspondientes PIDS, así como su | Este encontrará todos los procesos para el usuario dsoneil | Proporciona una lista de procesos que se ejecutan en una estructura de árbol | Imprime el directorio de trabajo actual | Listas de las cuotas de los usuarios, tanto para ada (/ home / ada / a # / nombre de usuario) y | (/ Var / spool / mail / usuario), lo que indica el número de bloques utilizados y | Los usuarios de cuota.

pstree pwd cuota

pstree-p pwd cuota Amelia

renice

renice -5 6641

| Permite ajustar la prioridad del proceso de ejecución 6641 (El 5 reduce el | Prioridad de usar menos recursos) | Esto eliminará el paquete llamado, pero hacer una copia en el directorio / tmp | Elimina el archivo especificado en el directorio actual | Elimina archivos especificados, pero pide confirmación antes de eliminar | Elimina el directorio y todos los archivos especificados en dicho directorio | Elimina el directorio vacío especificada, si no está vacío se quiere | Aparecer un error | Elimina el directorio y todos los archivos de ese directorio (si es compatible) | Muestra la tabla de enrutamiento IP del núcleo Linux | Esto le indicará qué otros sistemas de la red para encaminar el sistema de | Esto indicará al sistema donde se encuentra la puerta de acceso a Internet | Esta información puede ser añadido a que los archivos de sistema / etc / rc.d / rc.local | Esto desempaquetar un archivo RPM. Este es el método más básico de la instalación | Esto instalará una actualización a un paquete RPM anterior. | La opción-force forzará el paquete para reinstalar | Esto eliminará y el paquete RPM. (No es necesario utilizar el |nombre completo) | Este comando utiliza el indicador "sin dependencias". | Esto le dará una impresión de pantalla de todos los paquetes instalados (q es query) | Esto imprimirá todos los paquetes RPM gtk en el nombre del archivo | Esto proporcionará información sobre el paquete que está a punto de instalar | Esto reconstruirá un paquete si se ha dañado por otro |proceso de instalación | Esto convertirá un archivo RPM a un paquete tgz de Slackware. | Se comprobará el estado del servicio smb | Estado de la pantalla de todos los servicios | Para garantizar una copia entre máquinas salió | Lee archivos en modo binario | Lee archivos en modo texto

removepkg rm archivo.a

packagename removepkg-copia rm rm-i archivo.a rm-r / home / DSO

rmdir

rmdir pascal

rmdir-r pascal ruta

route-n route add-net 192.168.0.0 eth0 route add default gw 192.168.0.5 eth0

rpm

rpm-i-file.2.0 i386.rpm rpm-U-file.2.0 i386.rpm rpm-i-force fichero.rpm rpm-e file.2.0-i386.rpm

rpm-i-nodeps fichero.rpm rpm-qa rpm-qa | grep gtk rpm-qi file.2.0-i386.rpm rpm-reconstruir file.2.0.rpm rpm2targz servicio smb rpm2targz filename.rpm Estado del servicio servicio de estado, todo sha1sum sha1sum filename.tgz perfectamente sha1sum-b sha1sum-t

cierre

shutdown-t 10.00 shutdown-r-t 20.00 shutdown-t 10 buen día shutdown-f

| Esto se notificará a todos los usuarios registrados que el sistema se apagará a las | 10 a.m. | Esto reiniciar el sistema a las 8:00 PM | Este se apagará el sistema en 10 minutos con el mensaje |"Buen día" enviada | El-f causará Linux para hacer un reinicio rápido | Para ordenar los archivos. (Opciones-r Invertir orden normal,-n Ordenar en orden numérico | Muestra los caracteres imprimibles

ordena r cuerda s do de usuario alquitrán

Ordenar mifichero cuerdas mifichero

Su nombre

| Esto le permitirá acceder a los privilegios de superusuario. | Escriba exit para volver a la normalidad | Este comando copia el directorio / home en el fichero / user / dso.tar DSO

tar-cf / usr / dso.tar / home tar cvf / backup.tar /

384

Traducido por Sykrayo España

| Esto creará un archivo tar de todo en el tar-xvf file.a.tar tar-tvf file.a.tar | más tar-zxvf file.a.tgz

directorio / DSO | Este comando extrae el archivo tar | Esto le permitirá comprobar si el archivo tar comienza con un directorio | Este comando descomprimirá y extraiga el archivo en un solo paso en lugar | A la utilización de gzip

superior

M para la información de uso de la memoria| Este programa muestra una gran cantidad de cosas que ocurre en su sistema. En el P para la información de la CPU | Programa, puede teclear: q para salir

385

Traducido por Sykrayo España

tocar updatedb upgradepkg umask

touch archivo.a updatedb upgradepkg packagename.tgz umask-S u = rw, g =, o = umask 022

| Crea un archivo vacío en el directorio actual con el nombre de archivo | Esto actualizará la base de datos "locate" | Esto actualizar un paquete Slackware y eliminar los viejos o no los archivos utilizados | Especifique el permiso para los archivos cuando se crean los archivos para el propietario (u), | Grupo (g), y otros (o) |puede utilizar 022 por permiso de solo lectura de archivos para otros y 077 para lectura |y permiso de escritura | Esto imprimirá a la pantalla del Kernel Linux en uso en su sistema el tiempo de actividad-a 192.168.0.100 | Ralentí durante más de una hora | Muestra el tiempo de funcionamiento del sistema, e

uname

uname-a

el tiempo de actividad incluye una lista de los usuarios que han sido

userdel

userdel-r dsoneil

| Esto eliminará la dsoneil usuario del sistema, la opción-r, se eliminarán | Las usuarios / home | Lista todos los usuarios actualmente conectados al sistema UNIX. Proporciona información | Como nombre de usuario, tiempo de conexión, tiempo de inactividad, y la corriente de acción | Proporciona un resumen de una línea de comandos | Esto buscará a través de todos los directorios en la ruta de acceso actual y encontrar todos | Archivos con el nombre del archivo | Listas de usuarios con sesión iniciada nombre de usuario, el puerto, y cuando se registran en

w

w

whatis que archivo

whatis cat que-un nombre de

que whoami

que whoami | Indica al usuario que están actuando como, por lo general su propio nombre de usuario.

HERRAMIENTAS DE ANÁLISIS FORENSE: CONTENIDO DE LA CAPA DE HERRAMIENTAS: dcat dcalc dls dstat XXX debugfs . dcat-f-linux ext2-h / * img 357 | less dcalc-u 345 / *. img 644 dls-f-linux ext2 / *. img> *. img.dls dstat-f-linux ext2 / *. img 357 | Mostrar el contenido de un bloque de disco (-h vista hex) | Mapas de imágenes entre DD y dls resultados | (UNRM en TCT) Listas contenido de bloques de disco borrados | Lista de estadísticas asociadas con el bloque de disco específico de una imagen

debugfs [opciones] *. img |Ver y editar archivos ext2 DE UN debugfs símbolo del sistema: debugfs: lsdel |Enumere Inodes eliminados debugfs: | Escribe un archivo fuera de la img. escribir debugfs: Gato <inode#> |Leer el contenido de un debugfs inodo: dump <inode#> / mnt / archivo.txt | Vuelca el contenido de un inodo. debugfs: dump-R "stat <inode#>" * img | Ofrece mayores datos sobre el inodo..

ARCHIVO sistema de capas HERRAMIENTAS: Tipos de archivos: ext2, linux-linux-ext3, Solaris, OpenBSD, FreeBSD, NTFS, FAT, FAT12, FAT16, FAT32 fFind fFind-f-linux ext2 / *. img 2060 -Un fls-f-linux ext2 hda2.dd 33 -Un -D -U -D -F -R -P -M -L -Z -S . fsstat-f-linux ext2 / img * | less | Determine qué archivo se ha asignado a un nodo-i en una imagen | Busca todas las ocurrencias de ese archivo | Muestra las entradas de archivo y directorio en Inode Directorio | Pantalla y directorios '..' '.' Mostrar sólo las entradas eliminadas | Sólo se muestran las entradas no eliminados | Sólo las entradas de directorio de Display | Sólo las entradas de archivo de pantalla | | Recursividad en directorios | Mostrar la ruta completa al recursiva | Mostrar en el formato de importación calendario | Mostrar versión larga (todos los tiempos y de información) | Especifique la zona horaria (de '-l' listado) | Reloj asimetría en segundos ('-l' única y-m) | Muestra los detalles sobre el sistema de archivos

fls

fsstat XXX

386

Traducido por Sykrayo España

fsgrab

fsgrab-c 1-s 57 *. img> *. txt -C #

| Se puede tomar directamente de los bloques del disco |Número de bloques para agarrar

387

Traducido por Sykrayo España

-S # Lázaro lazarus-h / *. img.dls -H

| Número de bloques para saltar | Toma un espacio no asignado de datos en bruto y lo pone en orden |-H dirige la salida a HTML | Análisis mactime independiente, escribe STD-OUT para netcat. | Se utiliza para correlacionar los archivos de datos, desde fls / ILS, ladrón de tumbas, | Ejecutar mactimemac-ladrón Comenzando desde 01/01/2001 | Ubicación del archivo de contraseña (para reemplazar UID) | Grupo ubicación del archivo (para reemplazar GID) | Fechas utilizan el año primero | Especifique la zona horaria

mac_daddy.pl mactime-b / *. mac> / *. todo mactime mactime mactime-b 01/01/2001 / *. mac> / *. todo -P -G -Y -Z Meta Data Herramientas de capa: icat icat-hf-linux ext2 / *. img 2060 -H /-H ifind-f-linux ext2 / *. img 2060 ils-de-linux ext2 / dev/hda1 -O eliminado -E -R -F -M ISTAT-f-linux ext2 / *. img 2060 XXX clasificador clasificador-f-linux ext2-d / *. img / clasificador -E -I -L -S -C

| Muestra el contenido de un bloque de disco asignado a un inodo |-H no se muestran los agujeros de archivo, H-DO agujeros pantalla | Determine qué inodo ha asignado un bloque en una imagen | Mostrar información de i-nodo, incluso los borrados | Abrir archivos pero no enlazados en un sistema vivo, el proceso está en marcha, pero el archivo es | Lista Cada inodo | Archivos eliminados, de forma predeterminada | Indica ils que presentan la estructura del sistema para leer Extrae datos de inodes borrados | Muestra información acerca de un inodo específica | Clasificador corre tanto 'fls-r' y 'icat' para identificar el contenido Sólo desajuste Extensión | Sólo Categoría Indexación | | Lista de detalles a sólo STDOUT (por infrarrojos) | Guarde los datos en directorios categoría | Archivo de configuración

iFind ils

IST AT

Herramientas forenses: LIVE ladrón de tumbas ladrón de tumbas [Opciones]> STD-OUT -E -I -P -S -T -L |Herramienta de captura de datos | Grabs Todo | Recopila datos inodo desde el espacio no asignado | Ejecutar comandos de proceso | Reúna red y el host info | Agarra todas las informaciones confianza | Lstat Run () de todos los archivos para obtener información Inode | Ejecutar en un sistema activo para crear una línea de tiempo. | Ejecutar en un sistema activo para crear una línea de tiempo. pcat process_ID | Copiar en la memoria del proceso de sistema en vivo

mac-papi mac-ladrón pcat

Los datos de localización / Etc / issue / Tmp / install.log / Etc / zona horaria / Var / log / boot.log / Etc / fstab | Sistema operativo y versión. | Fecha de instalación del sistema operativo o de lista de archivos. | Zona horaria del sistema. | Fechas de inicio. | Información de las particiones.

Otros comandos útiles Diálogo de instalación: Ctrl-Alt-F1 Ctrl-Alt-F2: intérprete de comandos Registro de instalación: Ctrl-Alt-F3 Ctrl-Alt-F4: Los mensajes relacionados con el sistema Ctrl-Alt-F5: otros mensajes

388

Traducido por Sykrayo España

Ctrl-Alt-F7: display gráfico X

389

Traducido por Sykrayo España

Referencias
Acceder a los datos. (2005). FTK Imager archivo de ayuda. Carvey, H. (2005a). Primera Utilidad Responder. Consultado el 31 de enero 2006, a partir de http://www.vientoowsir.com / herramientas.html Carvey, H. (2005b). Forense de Windows y de recuperación de incidentes. Boston: Addison-Wesley. Chuvakin, A. (2002). Linux Hiding y recuperación de datos. Consultado el 04 de febrero 2006, a partir de http://www.linuxsecurity.com/ Centienda / view/117638 / Espero ordenador. (2006a). 3.5 Floppy. Consultado el 31 de enero 2006, a partir de http://www.computersaltoe.com / jargen / h / headslot.htm Espero ordenador. (2006b). 5,25 Floppy. Consultado el 31 de enero 2006, a partir de http://www.computersaltoe.com / jargen / h / headslot.htm Inteligencia Digital. (2006a). Lectores de tarjetas de forenses. Consultado el 31 de enero 2006, a partir de http://www.digitalintelligence.com / productorescts / Forensic_card_readers / Inteligencia Digital. (2006b). Ultrablock. Consultado el 31 de enero 2006, a partir de http://www.digitalintelligence.com / productorescts / ultrablock / Inteligencia Digital. (2006c). Escribir USB bloqueador. Consultado el 31 de enero 2006, a partir de http://www.digitalintelligence.com/ Productorescts / usb_escribir_blocker / Erickson, L. (2004). SNCF Software Write-bloque XP - Paso 5 Validación. Consultado el 25 de enero 2005, a partir de www.ncfsorg / flota / bloquek/index.htm Frisk Software International. (2006). F-Prot Antivirus para estaciones de trabajo Linux - para los usuarios domésticos. Consultado el 04 de febrero 2006, a partir de http://www. F-Prot.com/ Products/home_use/ Linux / Gregg, B. (2004). Chaosreader. Consultado el 04 de febrero 2006, a partir de http://users.tpg.com.au / adsln4yb / chaosreader.html Harbour, N. (2006). dcfldd. Consultado el 04 de febrero 2006, a partir de http://dcFldd.sourceforge.net / Hurlbut, D. (2005). Protección contra escritura de dispositivos USB en Windows XP. Consultado el 31 de enero 2006, a partir de http://www.accessdata.com / media / en_us / pryont / papers/ Wp.USB_Write_Protect.en_us.pdf Kornblum, J. (2006). La más importante. Consultado el 03 de febrero 2006, a partir de http://foremost.sourceforge.net/ McDougal, M. (2005). Ventanas Forense Toolchest. Consultado el 31 de enero 2006, a partir de http://www.foolmoon.net/seguridad / WFT / index.html McLeod, J. (2005). Colección de informes de respuesta a incidentes (IRCR2) Archivo Léame. Consultado el 31 de enero 2006, a partir de http://ircr.tripod.com / MemoryStick.com. (2006). MemoryStick protección contra escritura. Consultado el 31 de enero 2006, a partir de http://www.meMorystick.com / en / ms / hazañaures. HTML Owen, H. (2004). ECE 4112 Internetwork Seguridad Lab: Protección de Datos. Consultado el 04 de febrero 2006, a partir de http://users. Ece. Gatech.edu / ~owen / Académico/ ECE4112/Fall2004 /Projects/ Datos% 20Protection.doc SecReport. (2005). Consultado el 31 de enero 2006, a partir de http:/ / Members.verizon.net / ~ vze3vkmg / index.htm. La sala de estar. (2006). Tarjeta MMC / SD. Consultado el 31 de enero 2006, a partir de http://www.livingroom.org.au / photolog / pretec4gb sd--Memria-card-1.jpg Vincent, L. (2006). Hardware Lister (lshw). Consultado el 05 de febrero 2006, a partir de http://ezyox.sursosefalsificar.net / software / lshw.html Wikipedia. (2006a). Knoppix. Consultado el 07 de febrero 2006, a partir de http://en.wikipedia.org/wiki / Knoppix Wikipedia. (2006b). Linux. Consultado el 07 de febrero 2006, a partir de h t p / : e n . w k i p i e dia.org / wiki / Linux Wikipedia. (2006c). Xfce. Consultado el 07 de febrero 2006, a partir de h t p / : e n w . k i p i e dia.org / wiki /Xfce Zalewski, M. (2002). Fenris. Consultado el 04 de febrero 2006, a partir de http://www.bindview.com /Servicios/ RAZOregón/ Utilities / Unix_Linux / fenris_index.cfm

390

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->