The Coroner's Toolkit

Este artículo o sección sobre informática necesita ser wikificado, por favor, edítalo para que cumpla con las convenciones de estilo. Este aviso fue puesto el 8 de septiembre de 2009.

The Coroner's Toolkit (TCT ) es un kit de utilidades desarrolladas por Dan Farmer y Wietse Venema para el análisis post mortem de un sistema UNIX luego de un incidente de seguridad (break-in). Este kit fue mostrado por primera vez en una clase de análisis forense de computadoras en agosto de 1999.

Características

Los componentes más destacados de TCT son:

• grave-robber: Captura información
• ils y mactime: Muestran los patrones de acceso de archivos existentes o borrados (dead or alive)
• unrm y larazus: Recuperan archivos borrados
• findkey: Recupera las llaves criptográficas de un proceso en ejecución o de los archivos.

Requerimientos del sistema

Diferentes versiones de TCT han sido probadas con los siguientes sistemas operativos

• Solaris 2.4, 2.5.1, 2.6, 7.0, 8
• FreeBSD 2.2.1, 3.4, 4.4
• RedHat 5.2, 6.1, 7.3
• BSD/OS 2.1, 4.1
• OpenBSD 2.5, 3.0, 3.1
• SunOS 4.1.3_U1, 4.1.4

TCT requiere Perl 5.004 o superior, aunque Perl 5.000 es suficiente para usar el kit TCT y hacer el análisis en otra máquina

Enlaces

• Sitio Oficial
• Ejemplo de uso