- The Coroner's Toolkit
-
The Coroner's Toolkit (TCT ) es un kit de utilidades desarrolladas por Dan Farmer y Wietse Venema para el análisis post-mortem de un sistema UNIX luego de un incidente de seguridad (break-in). Este kit fue mostrado por primera vez en una clase de análisis forense de computadoras en agosto de 1999.
Características
Los componentes más destacados de TCT son:
- grave-robber: Captura información
- ils y mactime: Muestran los patrones de acceso de archivos existentes o borrados (dead or alive)
- unrm y larazus: Recuperan archivos borrados
- findkey: Recupera las llaves criptográficas de un proceso en ejecución o de los archivos.
Requerimientos del sistema
Diferentes versiones de TCT han sido probadas con los siguientes sistemas operativos
- Solaris 2.4, 2.5.1, 2.6, 7.0, 8
- FreeBSD 2.2.1, 3.4, 4.4
- RedHat 5.2, 6.1, 7.3
- BSD/OS 2.1, 4.1
- OpenBSD 2.5, 3.0, 3.1
- SunOS 4.1.3_U1, 4.1.4
TCT requiere Perl 5.004 o superior, aunque Perl 5.000 es suficiente para usar el kit TCT y hacer el análisis en otra máquina
Enlaces
Categorías:- Almacenamiento informático
- Seguridad informática
Wikimedia foundation. 2010.
