O AFB é uma ferramenta de código
aberto e gratuito, desenvolvida por Brian Carrier, que reuniu as
ferramentas do TASK em uma interface gráfica, permitindo uma análise
dos arquivos, diretórios, blocos de dados e inodes (alocados ou
apagados) presentes na imagem de um sistema de arquivos. Através
da interface gráfica do AFB, as imagens dos sistemas de arquivos
da máquina invadida podem ser examinadas no nível de abstração de
arquivos, inodes ou blocos de dados. Também é possível, buscar por
palavras-chave e expressões regulares nas imagens, bem como criar
uma linha de tempo contendo os mactimes dos arquivos e diretórios.
A interface utilizada pelo AFB é baseada em HTML, segundo um modelo
cliente-servidor. O AFB corresponde ao servidor e qualquer navegador
HTML pode ser usado como cliente. Com isto, é permitido que o AFB
seja executado diretamente no sistema comprometido, por meio de
uma mídia removível, fornecendo acesso remoto e protegido contra
escritas ao investigador, que utiliza um navegador HTML no sistema
de análise.
|