Aceasta este comanda mac-robber care poate fi rulată în furnizorul de găzduire gratuit OnWorks folosind una dintre multiplele noastre stații de lucru online gratuite, cum ar fi Ubuntu Online, Fedora Online, emulator online Windows sau emulator online MAC OS
PROGRAM:
NUME
mac-tâlhar - colectează date despre fișierele alocate în sistemele de fișiere montate
REZUMAT
mac-tâlhar [OPȚIUNE]
mac-tâlhar
DESCRIERE
mac-tâlhar este un instrument digital de investigare (digital criminalistic) care colectează metadate de la
fișiere alocate într-un sistem de fișiere montat. Acest lucru este util în timpul răspunsului la incident când
analizând un sistem activ sau când se analizează un sistem mort într-un laborator. Datele pot fi folosite de
instrumentul mactime din Kitul Sleuth (numai TSK sau SleuthKit) pentru a crea o cronologie a fișierului
activitate. mac-tâlhar instrumentul se bazează pe instrumentul pentru jefuitori de morminte de la TCT (The Coroners
Trusa de instrumente).
mac-tâlhar necesită ca sistemul de fișiere să fie montat de sistemul de operare, spre deosebire de
instrumente din Kitul Sleuth care procesează sistemul de fișiere în sine. Prin urmare, mac-tâlhar
nu va colecta date din fișierele șterse sau din fișierele care au fost ascunse de rootkit-uri.
mac-tâlhar va modifica, de asemenea, timpii de acces pe directoarele care sunt montate cu scriere
permisiuni. Când sunteți în analiza criminalistică, ar trebui să montați partiția țintă ca citire
numai.
mac-tâlhar este util atunci când aveți de-a face cu un sistem de fișiere care nu este acceptat de The Sleuth
Kit sau alte instrumente de analiză a sistemului de fișiere. Poți să alergi mac-tâlhar pe un UNIX obscur și suspect
sistem de fișiere care a fost montat numai în citire pe un sistem de încredere.
OPŢIUNI
-h Ajutor pentru imprimare.
-V Arată versiunea.
EXEMPLU
Pentru a vedea metadatele din toate fișierele dintr-un director (recursiv):
$ mac-robber /home/user/directory
Pentru a face o cronologie folosind comanda mactime din The Sleuth Kit (TSK) și setarea braziliană
fus orar:
$ mac-robber /home/user/directory | mactime -z BRT
O alternativă este să scrieți rezultatele într-un fișier și să-l citiți folosind mactime:
$ mac-robber /home/user/directory > /tmp/files.mr
$ mactime -b /tmp/files.mr -z BRT
Utilizați mac-robber online folosind serviciile onworks.net