זהו הפקודה mac-robber שניתן להפעיל בספק האירוח החינמי של OnWorks באמצעות אחת מתחנות העבודה המקוונות המרובות שלנו, כגון Ubuntu Online, Fedora Online, אמולטור מקוון של Windows או אמולטור מקוון של MAC OS
תָכְנִית:
שֵׁם
מק-שודד - אוסף נתונים על קבצים שהוקצו במערכות קבצים רכובות
תַקצִיר
מק-שודד [אוֹפְּצִיָה]
מק-שודד
תיאור
מק-שודד הוא כלי חקירה דיגיטלי (זיהוי פלילי דיגיטלי) שאוסף מטא נתונים
קבצים שהוקצו במערכת קבצים רכוב. זה שימושי במהלך תגובה לאירוע כאשר
ניתוח מערכת חיה או בעת ניתוח מערכת מתה במעבדה. ניתן להשתמש בנתונים על ידי
הכלי mactime ב-The Sleuth Kit (TSK או SleuthKit בלבד) כדי ליצור ציר זמן של קובץ
פעילות. ה מק-שודד הכלי מבוסס על הכלי לשודד הקברים מבית TCT (The Coroners
אַרְגַז כֵּלִים).
מק-שודד דורש שמערכת הקבצים תותקן על ידי מערכת ההפעלה, בניגוד ל-
כלים ב-The Sleuth Kit שמעבדים את מערכת הקבצים בעצמם. לָכֵן, מק-שודד
לא יאסוף נתונים מקבצים שנמחקו או קבצים שהוסתרו על ידי rootkits.
מק-שודד ישנה גם את זמני הגישה של ספריות שמורכבות עם כתיבה
הרשאות. בעת ניתוח פורנזי, עליך להרכיב את מחיצת היעד כקריאה-
בלבד.
מק-שודד שימושי כאשר עוסקים במערכת קבצים שאינה נתמכת על ידי The Sleuth
ערכה או כלי ניתוח אחרים של מערכת הקבצים. אתה יכול לרוץ מק-שודד על UNIX לא ברור וחשוד
מערכת קבצים שהוגדרה לקריאה בלבד במערכת מהימנה.
אפשרויות
-h הדפס עזרה.
-V הצג את הגרסה.
דוגמא
כדי לראות מטא נתונים מכל הקבצים בספריה (רקורסיבית):
$ mac-robber /home/user/directory
כדי ליצור ציר זמן באמצעות פקודת mactime מ-The Sleuth Kit (TSK) והגדרת ברזילאי
אזור זמן:
$ mac-robber /home/user/directory | mactime -z BRT
חלופה היא לכתוב את התוצאות לקובץ ולקרוא אותו באמצעות mactime:
$ mac-robber /home/user/directory > /tmp/files.mr
$ mactime -b /tmp/files.mr -z BRT
השתמש ב-mac-robber באינטרנט באמצעות שירותי onworks.net
