Processing $PATH elements...

/usr/sbin

/bin

/usr/bin

/sbin

/usr/X11R6/bin

        Processing dir /home/work/forensic/tct-1.14/bin

        Processing dir /etc

        Processing dir /bin

        Processing dir /sbin

        Processing dir /dev

Если требуется задать определенный каталог, необходимо пользоваться опцией -с, которая, в свою очередь, требует опцию -о, указывающую на используемую операционную систему.

# ./grave-robber -c /data1 -o LINUX2

Из других параметров, разделенных на три группы (general, micro data collection и macro data collection), особо интересными, по моему мнению, являются (по умолчанию собирается максимальное количество данных, что занимает довольно много времени):

n  -l – на живой системе перед сбором информации вызывает lstat();

n  -P – выполняет на живой системе команды ps, lsof, icat для того, чтобы получить данные о выполняемых процессах и делает копии их исполняемых файлов. Icat-команда требует привилегий и используется только на системах, где к исполняемому файлу нельзя обращаться через /proc файловую систему;

n  -s – на живой системе при помощи netstat, df собирает информацию о состоянии хоста и сетевых соединениях;

n  -t – собирает информацию от hosts.equiv, .rhosts, and xhost;

n  -M – собирает контрольную сумму MD5 для файлов;

n  -v – вывод подробных данных.

В результате работы утилиты в подкаталоге data/hostname_time (его можно изменить при помощи опции -d), образуется несколько файлов и каталогов.

../data/grinder_2004_02_02_10:48:40_+0200:

.  ..  body  body.S  command_out  conf_vault  MD5_all  MD5_all.md5   proc  trust  user_vault

В body содержится MAC-база времени, body.S тоже, но описаны файлы с установленным SUID; command_out – вывод программ, которые выполняются, с контрольными суммами и временными метками; conf_vault – программы, которые утилита нашла интересными, в основном критические и конфигурационные файлы; proc – копии исполняемых файлов запущенных процессов с контрольными суммами. Может быть еще каталог deleted_files, содержащий удаленные, но еще открытые файлы.

Если необходимо просто просмотреть, изменялось ли MAC-время доступа к файлам, начиная с определенного времени (или промежуток при задании двух значений), то запускаем утилиту mactime, в результате получим колонку, состоящую из значений [date time size MAC (т.е. изменившееся поле) perms owner group file]. Давайте посмотрим, какие файлы изменились с 10 января 2004 г. (формат: месяц/дата/год).

#./mactime 1/10/2004

Feb 02 04 10:12:57    8 m.c lrwxrwxrwx root     root     /data1/dnsdomainname -> hostname

                 4916 ..c -rwxr-xr-x root     root     /data1/deallocvt