Paquet : mac-robber (1.02-13)

collecte de données à propos des fichiers alloués dans des systèmes de fichiers montés

mac-robber est un outil d’investigation numérique (analyse scientifique) qui collecte les métadonnées des fichiers alloués dans un système de fichiers monté. C’est utile lors de la réponse à un incident lors de l’analyse d’un système autonome ou lors de l’analyse d’un système mort dans un laboratoire. Les données peuvent être utilisées par l’outil mactime dans The Sleuth Kit (TSK ou simplement SleuthKit) pour produire un historique de l’activité du fichier. L’outil mac-robber est basé sur l’outil grave-robber de TCT (The Coroners Toolkit).

mac-robber requiert que le système de fichiers soit monté sur le système opérationnel, au contraire des outils du The Sleuth Kit qui traitent le système de fichiers lui-même. Par conséquent, mac-robber ne collectera pas les données des fichiers supprimés, ni des fichiers cachés par des maliciels furtifs (rootkit). mac-robber modifiera aussi les heures d’accès sur les répertoires montés avec la permission d’écriture.

mac-robber est utile pour traiter un système de fichiers non pris en charge par The Sleuth Kit ou par d’autres outils d’analyse de système de fichiers. mac-robber peut être exécuté sur un système de fichiers UNIX confus et suspect qui a été monté en lecture seule sur un système fiable.

Cette page est uniquement disponible dans les langues suivantes (Comment configurer la langue par défaut du document) :