这是 mac-robber 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
强盗 - 收集有关已挂载文件系统中已分配文件的数据
概要
强盗 [OPTION]
强盗
商品描述
强盗 是一种数字调查工具(数字取证),从
在挂载的文件系统中分配的文件。 这在事件响应期间很有用
分析实时系统或在实验室中分析死系统时。 数据可以由
The Sleuth Kit 中的 mactime 工具(仅限 TSK 或 SleuthKit)来制作文件的时间线
活动。 这 强盗 工具基于 TCT(验尸官)的盗墓工具
工具包)。
强盗 要求文件系统由操作系统挂载,不像
The Sleuth Kit 中用于处理文件系统的工具。 所以, 强盗
不会从已删除的文件或已被 rootkit 隐藏的文件中收集数据。
强盗 还将修改使用 write 挂载的目录的访问时间
权限。 在取证分析中,您应该将目标分区挂载为 read-
只。
强盗 在处理 The Sleuth 不支持的文件系统时很有用
Kit 或其他文件系统分析工具。 你可以跑 强盗 在一个模糊的、可疑的 UNIX 上
在受信任的系统上以只读方式挂载的文件系统。
配置
-h 打印帮助。
-V 显示版本。
例
要查看目录中所有文件的元数据(递归):
$ mac-robber /home/user/目录
使用 The Sleuth Kit (TSK) 中的 mactime 命令制作时间线并设置巴西语
时区:
$ mac-robber /home/user/directory | mactime -z 快速公交
另一种方法是将结果写入文件并使用 mactime 读取它:
$ mac-robber /home/user/directory > /tmp/files.mr
$ mactime -b /tmp/files.mr -z BRT
使用 onworks.net 服务在线使用 mac-robber
