The Sleuth Kit
Was ist The Sleuth Kit?
The Sleuth KitOpen-Source-Bibliothek und Kommandozeilen-Toolkit zur Low-Level-Analyse von Disk-Images und Dateisystemen, gepflegt von Brian Carrier.
The Sleuth Kit (TSK) ist eine quelloffene forensische Bibliothek und eine Sammlung von Kommandozeilenwerkzeugen zur Analyse roher Disk-Images und Dateisysteme auf Byte- und Metadatenebene. Urspruenglich aus The Coroner's Toolkit hervorgegangen, wird TSK seit 2003 von Brian Carrier unter BSD-/CPL-Lizenz gepflegt. TSK unterstuetzt NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 und Yaffs2 und arbeitet mit Raw- und Expert-Witness-Format (E01)-Images. Ermittler nutzen Werkzeuge wie 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' und 'tsk_loaddb', um Dateien (einschliesslich geloeschter Eintraege) aufzulisten, Partitionstabellen zu parsen, unallokierten Speicher zu carven und SQLite-Datenbanken fuer weitere Analysen aufzubauen. TSK ist die Engine hinter Autopsy und vielen weiteren kommerziellen und Open-Source-Forensiktools.
● Beispiele
- 01
Aufruf von 'fls -r -m / image.E01', um ein Body-File fuer die Timeline-Analyse mit mactime zu erzeugen.
- 02
Einsatz von 'icat', um ein geloeschtes Dokument anhand seiner Inode-Nummer aus einem NTFS-Image zu extrahieren.
● Häufige Fragen
Was ist The Sleuth Kit?
Open-Source-Bibliothek und Kommandozeilen-Toolkit zur Low-Level-Analyse von Disk-Images und Dateisystemen, gepflegt von Brian Carrier. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet The Sleuth Kit?
Open-Source-Bibliothek und Kommandozeilen-Toolkit zur Low-Level-Analyse von Disk-Images und Dateisystemen, gepflegt von Brian Carrier.
Wie funktioniert The Sleuth Kit?
The Sleuth Kit (TSK) ist eine quelloffene forensische Bibliothek und eine Sammlung von Kommandozeilenwerkzeugen zur Analyse roher Disk-Images und Dateisysteme auf Byte- und Metadatenebene. Urspruenglich aus The Coroner's Toolkit hervorgegangen, wird TSK seit 2003 von Brian Carrier unter BSD-/CPL-Lizenz gepflegt. TSK unterstuetzt NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 und Yaffs2 und arbeitet mit Raw- und Expert-Witness-Format (E01)-Images. Ermittler nutzen Werkzeuge wie 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' und 'tsk_loaddb', um Dateien (einschliesslich geloeschter Eintraege) aufzulisten, Partitionstabellen zu parsen, unallokierten Speicher zu carven und SQLite-Datenbanken fuer weitere Analysen aufzubauen. TSK ist die Engine hinter Autopsy und vielen weiteren kommerziellen und Open-Source-Forensiktools.
Wie schützt man sich gegen The Sleuth Kit?
Schutzmaßnahmen gegen The Sleuth Kit kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für The Sleuth Kit?
Übliche alternative Bezeichnungen: TSK, Sleuth Kit.
● Verwandte Begriffe
- forensics-ir№ 078
Autopsy
Open-Source-Digital-Forensik-Plattform von Brian Carrier und Basis Technology, die eine grafische Oberflaeche fuer The Sleuth Kit bietet und zahlreiche Analysemodule mitbringt.
- forensics-ir№ 426
Forensische Imageerstellung
Bitgenaue Kopie eines Speichermediums, durch kryptografische Hashes verifiziert, zur Analyse und als gerichtsfestes Beweismittel.
- forensics-ir№ 415
File Carving
Eine forensische Technik, die Dateien aus nicht zugewiesenem Speicher oder Rohdaten anhand von Dateisignaturen, Headern und Footern wiederherstellt, ohne Dateisystem-Metadaten zu nutzen.
- forensics-ir№ 1156
Timeline-Analyse
Eine forensische Technik, die die chronologische Abfolge von Ereignissen auf einem System rekonstruiert, indem Zeitstempel aus Dateien, Logs und anderen Artefakten korreliert werden.
- forensics-ir№ 162
Beweismittelkette
Lückenlose, dokumentierte Aufzeichnung jeder Person, jedes Orts und jeder Handlung in Bezug auf ein Beweismittel von der Sicherstellung bis zur Vernichtung.
- forensics-ir№ 425
Forensische Hash-Verifikation
Praxis, kryptografische Hashes (typischerweise MD5 und SHA-256) von forensischen Images und Quellmedien zu berechnen und abzugleichen, um die Integritaet der Beweise nachzuweisen.