Mactime
Одна из стадий реагирования на инцидент состоит в определении временного графика атаки. Это может выполняться для следственных целей или в целях восстановления системы. Удачно, что TCT имеет инструмент mactime, который вычисляет время последней модификации, время последнего обращения и время ctime (последняя модификация структуры файла, например, разрешений) после заданной даты. По желанию мы можем также выбрать конечную дату, создав временные рамки, ограничивающие наш анализ. Если мы не определяем значение второго времени time2, это значение по умолчанию будет текущим временем. Инструмент имеет много опций командной строки и их резюме, согласно исходному коду, таково:
Использование: mactime [-DfhlnpRsty] [-d directory] [-g group] [-p passwd] [-u user] [-b bodyfile] time1[-time2] [-d directory] Формат времени задан в самой простой форме как: Месяц/день/год - 4/5/1982 Обязательно задавайте год в виде четырех цифр.
-b [файл] Использует этот файл как альтернативный основной ("body") файл вместо заданного по умолчанию ($DATA/$body). -B [файл] Выводит основную часть в этот файл. Знак "-" является стандартным выводом stdout, конечно. Этот ключ удобен для использования только с флагом -d. -d [каталог] Указывает определенный каталог для отчета. Этот ключ не использует обычный файл основной базы данных. -f [имя файла] Помечает файлы, перечисленные в заданном файле, другим цветом (только HTML!). -g [имя файла] Этот флаг использует альтернативный файл группы для печати групп. -h Этот флаг выдает некоторый простой вывод HTML вместо открытого ascii текста. -l Берет "последний" вывод. -n Этот флажок заставляет mactime принимать вывод с нормальной "датой", который выглядит примерно так: "Tue Apr 7 17:20:43 PDT 1998". -p [имя файла] Этот флаг использует альтернативный файл пароля для печати пользовательских идентификаторов (ID). -R Этот флаг конфигурирует mactime для рекурсивного анализа подката логов (полезен только с флагом -d). -s Этот ключ помечает файлы SUID/SGID другим цветом (только HTML!). -t Этот ключ выводит время в машинном формате. -u [пользователь] Помечает файлы, принадлежащие пользователю, другим цветом (только HTML!). -v Этот ключ активизирует подробный вывод.
Чтобы выполнить mactime на данных, собранных утилитой graverobber в предыдущем разделе, мы будем использовать ключ -b. Поэтому, следующая команда выведет времена mactimes для данных, которые мы зафиксировали в предыдущем разделе. Мы выбрали дату 1/1/1971 для уверенности в том, что увидим времена mactimes для всех файлов в системе-жертве (если, конечно, вы не установили операционную систему более трех десятилетий назад).
forensic# ./mactime -b /mnt/storage/evid/body "1/1/1971"
Mar 03 89 21:54:51 574 ma. -rw-r--r-- root/toor wheel /usr/lib/bcc/include/regexp.h
Mar 03 89 21:55:06 153 ma. -rw-r--r-- root/toor wheel /usr/lib/bcc/include/regmagic.h
Nov 15 89 01:57:45 353 ma. -r--r--r-- root/toor wheel /usr/doc/pmake-2.1.34/tests/cmd.test
410 ma. -r--r--r-- root/toor wheel /usr/doc/pmake-2.1.34/tests/cmdvar.test
Первый столбец вывода - дата. Второй столбец - время, а третий - размер файла. Четвертый столбец представляет значение mac: последнее время модификации, последнее время обращения, и время ctime, соответственно. "." означает, что значение отсутствует. Таким образом, в предыдущем примере, ни у каких файлов не изменялось время ctimes.
Чтобы выполнить утилиту mactime в файловой системе, которую graverobber не анализировал, используем ключи -R и -d. Мы могли бы смонтировать изображение, созданное инструментом dd (см. лекцию "Некоммерческие наборы инструментов, предназначенные для судебного дублирования"), для этого процесса, или смонтировать копию жесткого диска в виде, предназначенном только для чтения. Для получения аналогичного вывода команда была бы следующей:
forensic# mactime -R -d /mnt/evidence "1/1/1971"
