Este es el comando mac-robber que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
ladrón de mac - recopila datos sobre archivos asignados en sistemas de archivos montados
SINOPSIS
ladrón de mac [OPCIÓN]
ladrón de mac
DESCRIPCIÓN
ladrón de mac es una herramienta de investigación digital (análisis forense digital) que recopila metadatos de
archivos asignados en un sistema de archivos montado. Esto es útil durante la respuesta a incidentes cuando
analizar un sistema en vivo o al analizar un sistema muerto en un laboratorio. Los datos pueden ser utilizados por
la herramienta mactime en The Sleuth Kit (solo TSK o SleuthKit) para hacer una línea de tiempo del archivo
actividad. La ladrón de mac La herramienta se basa en la herramienta de ladrón de tumbas de TCT (The Coroners
Kit de herramientas).
ladrón de mac requiere que el sistema de archivos sea montado por el sistema operativo, a diferencia del
herramientas en The Sleuth Kit que procesan el sistema de archivos por sí mismos. Por lo tanto, ladrón de mac
no recopilará datos de archivos eliminados o archivos que hayan sido ocultos por rootkits.
ladrón de mac también modificará los tiempos de acceso en los directorios que están montados con escritura
permisos. Cuando esté en análisis forense, debe montar la partición de destino como read-
solamente.
ladrón de mac es útil cuando se trata de un sistema de archivos que no es compatible con The Sleuth
Kit u otras herramientas de análisis del sistema de archivos. Tu puedes correr ladrón de mac en un UNIX oscuro y sospechoso
sistema de archivos que se ha montado como de solo lectura en un sistema de confianza.
OPCIONES
-h Ayuda de impresión.
-V Muestra la versión.
EJEMPLO
Para ver los metadatos de todos los archivos de un directorio (de forma recursiva):
$ mac-robber / home / user / directorio
Para hacer una línea de tiempo usando el comando mactime de The Sleuth Kit (TSK) y configurando Brazilian
zona horaria:
$ mac-robber / inicio / usuario / directorio | mactime -z BRT
Una alternativa es escribir los resultados en un archivo y leerlo usando mactime:
$ mac-robber / inicio / usuario / directorio> /tmp/files.mr
$ mactime -b /tmp/files.mr -z BRT
Utilice mac-robber en línea utilizando los servicios de onworks.net
