Grave-robber

 A parte central de todo o TCT é a ferramenta grave-robber, que faz a coleta de dados e executa uma série de comandos para tentar reunir as informações básicas do sistema e salvar alguns arquivos necessários para a análise. É importante notar que o grave-robber apenas coleta as informações sem interpretá-las. A ferramenta captura os dados, coleta informações efêmeras (processos e estado da rede) descobre a configuração de hardware do sistema (especialmente sobre os discos e partições) e busca por arquivos críticos, como por exemplo, arquivos de log e de configuração. Antes de começar a coleta dos dados, o grave-robber examina alguns dos utilitários e arquivos mais importantes do sistema. Apesar de ser um processo bastante demorado, recomenda-se executar o grave-robber sobre todo o sistema. Como saída, o grave-robber produz os seguintes arquivos e diretórios (toda saída produzida contém uma marca de tempo e é gerada a assinatura MD5 do arquivo produzido):

      • body: banco de dados para o programa mactime, contendo os atributos dos arquivos analisados (incluindo os mactimes);
      • body.S: contem os atributos de todos os arquivos SUID encontrados;
      • command out: subdiretório contendo a saída dos diversos comandos executados pelo grave-robber como, por exemplo, o ps e netstat;
      • removed but running: subdiretório contendo arquivos que foram deletados, mas ainda estão em execução;
      • icat: subdiretório contendo arquivos em execução que ainda estão no disco;
      • proc: subdiretório contendo arquivos copiados do diretório /proc;
      • conf vault: subdiretório contendo os arquivos e diretórios críticos salvos pelo grave-robber;
      • user vault: subdiretório contendo os arquivos e diretórios de usuário salvos pelo grave-robber (history files por exemplo);
      • trust: subdiretório contendo relações de confiança do sistema (como .rhosts, .forward e tarefas agendadas, por exemplo);
      • coroner.log: log de execução do grave-robber, contendo a data e horário de execução de todos os programas invocados;
      • error.log: log de erro do grave-robber;
      • MD5 all: assinatura MD5 de tudo que é produzido como saída do programa grave-robber;