A parte central de todo o TCT
é a ferramenta grave-robber, que faz a coleta de dados e executa
uma série de comandos para tentar reunir as informações básicas
do sistema e salvar alguns arquivos necessários para a análise.
É importante notar que o grave-robber apenas coleta as informações
sem interpretá-las. A ferramenta captura os dados, coleta informações
efêmeras (processos e estado da rede) descobre a configuração de
hardware do sistema (especialmente sobre os discos e partições)
e busca por arquivos críticos, como por exemplo, arquivos de log
e de configuração. Antes de começar a coleta dos dados, o grave-robber
examina alguns dos utilitários e arquivos mais importantes do sistema.
Apesar de ser um processo bastante demorado, recomenda-se executar
o grave-robber sobre todo o sistema. Como saída, o grave-robber
produz os seguintes arquivos e diretórios (toda saída produzida
contém uma marca de tempo e é gerada a assinatura MD5 do arquivo
produzido):
- body: banco de dados para o programa mactime, contendo os atributos dos arquivos analisados (incluindo os mactimes);
- body.S: contem os atributos de todos os arquivos SUID encontrados;
- command out: subdiretório contendo a saída dos diversos comandos executados pelo grave-robber como, por exemplo, o ps e netstat;
- removed but running: subdiretório contendo arquivos que foram deletados, mas ainda estão em execução;
- icat: subdiretório contendo arquivos em execução que ainda estão no disco;
- proc: subdiretório contendo arquivos copiados do diretório /proc;
- conf vault: subdiretório contendo os arquivos e diretórios críticos salvos pelo grave-robber;
- user vault: subdiretório contendo os arquivos e diretórios de usuário salvos pelo grave-robber (history files por exemplo);
- trust: subdiretório contendo relações de confiança do sistema (como .rhosts, .forward e tarefas agendadas, por exemplo);
- coroner.log: log de execução do grave-robber, contendo a data e horário de execução de todos os programas invocados;
- error.log: log de erro do grave-robber;
- MD5 all: assinatura MD5 de tudo que é produzido como saída do programa grave-robber;
|