Package: mac-robber (1.02-12)

Indsamler data om allokerede filer i monterede filsystemer

Mac-robber er et digitalt undersøgelsesværktøj (digital kriminalteknik), der indsamler metadata fra allokerede filer i et monteret filsystem. Dette er nyttigt under hændelsessvar, når der analyseres et live system eller når der analyseres et dødt system i et lab. Dataene kan bruges af værktøjet mactim i Sleuth Kit (kun TSK eller SleuthKit) til at lave en tidslinje over filaktivitet. Værktøjet mac-robber er baseret på værktøjet grave-robber fra TCT (The Coroners Toolkit).

Mac-robber kræver at filsystemet monteres af operativsystemet, til forskel fra værktøjerne i Sleuth Kit, der behandler selve filsystemet. Derfor vil mac-robber ikke indsamle data fra slettede filer eller filer der er skjult af rootkits. Mac-robber vil også ændre adgangstider på mapper, der er monteret med skriverettigheder.

Mac-robber er nyttig, når der håndteres et filsystem, der ikke er understøttet af Sleuth Kit eller andre analyseværktøjer for filsystemer. Du kan afvikle mac-robber på et obskur, mistænksomt UNIX-filsystem, der er blevet monteret skrivebeskyttet på et troværdigt system.

This page is also available in the following languages (How to set the default document language):