Sleuth Kit ( TSK ) - это библиотека и набор утилит на базе Unix и Windows для извлечения данных с дисковых накопителей и других хранилищ, чтобы облегчить судебно-медицинский анализ компьютерных систем. Он формирует основу для Autopsy, более известного инструмента, который, по сути, представляет собой графический пользовательский интерфейс для утилит командной строки, входящих в комплект The Sleuth Kit.
Автор (ы) оригинала | Брайан Кэрриер |
---|---|
Стабильный выпуск | 4.10.1 / 9 ноября 2020 г . [1] |
Репозиторий | |
Написано в | C , Perl |
Операционная система | Unix-подобный , Windows |
Тип | Компьютерная криминалистика |
Лицензия | IPL , CPL , GPL |
Коллекция с открытым исходным кодом и защищена GPL, CPL и IPL. Программное обеспечение находится в активной разработке и поддерживается командой разработчиков. Первоначальная разработка была сделана Брайаном Кэрриером [2], который основал ее на «Инструментарии коронера» . Это официальная платформа-преемник. [3]
Sleuth Kit может анализировать файловые системы NTFS , FAT / ExFAT , UFS 1/2, Ext2 , Ext3 , Ext4 , HFS , ISO 9660 и YAFFS2 по отдельности или в образах дисков, хранящихся в форматах raw ( dd ), Expert Witness или AFF. . [4] Sleuth Kit можно использовать для проверки большинства компьютеров Microsoft Windows , Apple Macintosh OSX , многих Linux и некоторых других компьютеров UNIX .
Sleuth Kit можно использовать с помощью прилагаемых инструментов командной строки или как библиотеку, встроенную в отдельный инструмент цифровой криминалистики, такой как Autopsy или log2timeline / plaso.
Инструменты
Некоторые из инструментов, включенных в The Sleuth Kit, включают:
- ils перечисляет все записи метаданных , такие как Inode .
- blkls отображает блоки данных в файловой системе (ранее называвшейся dls).
- fls перечисляет выделенные и нераспределенные имена файлов в файловой системе.
- fsstat отображает статистическую информацию файловой системы об изображении или носителе.
- ffind ищет имена файлов, которые указывают на указанную запись метаданных.
- mactime создает временную шкалу всех файлов на основе их времени MAC .
- disk_stat (в настоящее время только для Linux) обнаруживает наличие защищенной области хоста .
Приложения
Набор Сыщика можно использовать
Смотрите также
- Вскрытие (программное обеспечение) - графический интерфейс пользователя The Sleuth Kit.
- CAINE Linux - включает The Sleuth Kit
Рекомендации
- ^ "Релизы - сыщик / сыщик" . Проверено 9 ноября 2020 г. - через GitHub .
- ^ «О» . www.sleuthkit.org . Брайан Кэрриер . Проверено 30 августа 2016 .
- ^ http://www.porcupine.org/forensics/tct.html
- ^ «Анализ файловой и томной системы» . www.sleuthkit.org . Брайан Кэрриер . Проверено 30 августа 2016 .
- ^ «Вскрытие: Урок 1: Анализ удаленных файлов JPEG» . www.computersecuritystudent.com . Проверено 20 июня 2020 .
- ^ «Анализ FS - SleuthKitWiki» . wiki.sleuthkit.org . Проверено 20 июня 2020 .
- ^ «The Sleuth Kit - анализируйте образы дисков и восстанавливайте файлы» . Ссылки на Linux . Проверено 20 июня 2020 .
Внешние ссылки
- Официальный веб-сайт