The Coroner's Toolkit (o el "TCT") es un suite de aplicaciones escritas por Dan Farmer y Wietse Venema para un curso organizado por IBM sobre un estudio forense de equipos comprometidos.
Las aplicaciones más importantes del suite son:
* grave-robber - Una utilidad para capturar información sobre i-nodes, para luego pueda ser procesada por el programa mactime del mismo toolkit.
* unrm y lazarus - Herramientas para la recuperación de archivos borrados (logs, RAM, swap, etc.). Estas aplicaciones identifican y recuperan la información oculta en los sectores del disco duro.
* mactime - El programa para visualizar los ficheros/directorios su timestamp MAC (Modification, Access, y Change).
De todas esas herramientas, las más útiles y interesantes son grave-robber y mactime. unrm y lazarus son buenas si se tiene mucho tiempo y espacio libre en el disco, ya que el programa necesita identificar información en los sectores del disco para recuperar los ficheros (logs, fuentes, etc..) borrados por los intrusos.
La función más básica de grave-robber es de escanear algunas o todas sistemas de ficheros con función stat() para obtener información de los i-nodes. Grave-robber crea en la carpeta /data un directorio llamado como el nombre del host de la máquina y allí almacena los inodes, dentro del fichero body. El programa mactime luego ordena los resultados y los muestra: según el tiempo, cual de los tres timestamps corresponde, muestra el tipo de fichero, tamaño y a quién pertenece junto con el path.
Desde el listado, podremos sacar algunas conclusiones sobre la actividad que ha ejercido el intruso/los intrusos durante el tiempo que estuvieron dentro del sistema. Eso puede incluir instalación de caballos de Troya, backdoors, sustitución de ficheros legítimos del sistema operativo, descarga de herramientas, modificación de las librerías del sistema o instalación de rpm's/deb's/pkg's etc... También podemos ver desde aquí la creación de directorios ocultos, ejecución de los comandos de sistema operativo, compilación y ejecución de aplicaciones. Toda esa información que nunca se almacena de forma directa, puede ser extraída de la información que da mactime.
[Subir]