Package: mac-robber (1.02-12)

raccoglie dati sui file allocati nei file system montati

mac-robber è uno strumento di investigazione digitale (analisi forense digitale) che raccoglie metadati dai file allocati in un file system montato. Ciò è utile durante la risposta ad incidenti, quando si analizza un sistema live o quando si analizza in laboratorio un sistema non funzionante. I dati possono essere utilizzati dallo strumento mactime in The Sleuth Kit (TSK o semplicemente SleuthKit) per creare una cronologia dell'attività sui file. Lo strumento mac-robber è basato sullo strumento grave-robber da TCT (The Coroners Toolkit).

mac-robber richiede che il file system sia montato dal sistema operativo, a differenza degli strumenti in The Sleuth Kit che elaborano i file system stessi. mac-robber, perciò, non raccoglie dati dai file eliminati o dai file che sono stati nascosti da rootkit. mac-robber modificherà inoltre l'orario di accesso delle directory che sono montate con i permessi di scrittura.

mac-robber è utile quando si ha a che fare con un file system che non è gestito da The Sleuth Kit o da altri strumenti di analisi dei file system. Si può eseguire mac-robber su un file system UNIX poco noto e sospetto che è stato montato in sola lettura su un sistema fidato.

This page is also available in the following languages (How to set the default document language):