The Coroner's Toolkit

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

The Coroner's Toolkit (TCT ) es un kit de utilidades desarrolladas por Dan Farmer y Wietse Venema para el análisis post-mortem de un sistema UNIX luego de un incidente de seguridad (break-in). Este kit fue mostrado por primera vez en una clase de análisis forense de computadoras en agosto de 1999.

Características[editar]

Los componentes más destacados de TCT son:

  • grave-robber: Captura información
  • ils y mactime: Muestran los patrones de acceso de archivos existentes o borrados (dead or alive)
  • unrm y larazus: Recuperan archivos borrados
  • findkey: Recupera las llaves criptográficas de un proceso en ejecución o de los archivos.

Requerimientos del sistema[editar]

Diferentes versiones de TCT han sido probadas con los siguientes sistemas operativos

  • Solaris 2.4, 2.5.1, 2.6, 7.0, 8
  • FreeBSD 2.2.1, 3.4, 4.4
  • RedHat 5.2, 6.1, 7.3
  • BSD/OS 2.1, 4.1
  • OpenBSD 2.5, 3.0, 3.1
  • SunOS 4.1.3_U1, 4.1.4

TCT requiere Perl 5.004 o superior, aunque Perl 5.000 es suficiente para usar el kit TCT y hacer el análisis en otra máquina

Enlaces[editar]