Após a invasão de uma rede, os administradores de sistemas são frequentemente solicitados a explicar o ocorrido. TCT (The Coroner's Tookit), ou Ferramental do Legista, é um conjunto de ferramentas que reúnem e analisam dados sobre um sistema Unix e ajudam o administrador a responder esta pergunta. Unrm e lazarus são parte deste ferramental e podem ser usados para restaurar arquivos apagados e dados que não podem ser facilmente acessados.
Unrm propicia acesso a porções não alocadas de uma partição Unix e escrevem os dados puros em um arquivo de saída. O lazarus tenta reconstruir os arquivos ou dados a partir dos dados puros (raw data). Normalmente estes dados puros são fornecidos pelo comando unrm. Adicionalmente, o lazarus pode ser usado para reconstruir objetos de dados de outras fontes, tais como a memória do sistema e espaço de troca (swap. Esta ferramenta tem sido usada com dados de partições do tipo UFS, EXT2, NTFS e FAT32, mas pode ser usada em qualquer tipo de sistema de arquivos. Seu sucesso irá depender da forma como os dados foram armazenados.
Juntas, as duas ferramentas oferecem uma assistência importante sempre que arquivos são acidentalmente apagados. Para o analista forense, estas ferramentas oferecem acesso a arquivos que um invasor possa ter removido para ocultar as ferramentas de seu ataque ou para eliminar informações de log importantes.
Como os autores do pacote TCT ressaltam, "Se existe um tema, este seria a reconstrução do passado - determinar tanto quanto possível o que ocorreu a partir de um instantâneo estático de um sistema." Certamente tais atividades exigem um administrador de sistemas experiente e comprometido durante a fase de investigação forense de uma invasão. Nenhum software pode substituir alguém que conheça seu sistema, mas o TCT é um começo.
Além das ferramentas unrm e lazarus, o TCT contém outra ferramenta, chamada grave-robber, que pode auxiliar na identificação do que ocorreu após uma invasão. Grave-Robber controla diversas outras ferramentas em um esforço de capturar tanta informação quanto possível sobre um sistema potencialmente comprometido e seus arquivos.
Usar estas ferramentas pode exigir muito tempo e esforço. Você precisa revisar toda a documentação com muita atenção e testar todas as partes antes de usá-las de modo a poder entender e usar ao máximo seus recursos. Em particular, ao usar unrm e lazarus, você precisa ler o arquuivo help-recovering-file e docs/ lazarus.README que fazem parte do pacote TCT.
Este pacote pode ser instalado em sistemas Debian
GNU/Linux e derivados com o seguinte comando:
# apt-get install tct
Este texto foi traduzido e adaptado a partir de trechos do artigo:
Using The Coroner's Toolkit : Rescuing files with lazarus
Definição de políticas para troca de senhas
Versão para impressora
Indicar para um amigo
Enviar dica