The Sleuth Kit
¿Qué es The Sleuth Kit?
The Sleuth KitBiblioteca y conjunto de herramientas de linea de comandos de codigo abierto para el analisis de bajo nivel de imagenes de disco y sistemas de archivos, mantenido por Brian Carrier.
The Sleuth Kit (TSK) es una biblioteca forense y un conjunto de herramientas de linea de comandos de codigo abierto para examinar imagenes de disco crudas y sistemas de archivos a nivel de bytes y metadatos. Derivado originalmente de The Coroner's Toolkit, TSK es mantenido desde 2003 por Brian Carrier bajo licencia BSD/CPL. Soporta NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 y Yaffs2, y trabaja con imagenes raw y Expert Witness Format (E01). Los investigadores utilizan utilidades como 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' y 'tsk_loaddb' para enumerar archivos (incluidos borrados), analizar tablas de particiones, recuperar espacio no asignado y construir bases SQLite para analisis posteriores. TSK es el motor detras de Autopsy y de muchas otras herramientas forenses comerciales y de codigo abierto.
● Ejemplos
- 01
Ejecutar 'fls -r -m / image.E01' para producir un body-file para analisis de linea de tiempo con mactime.
- 02
Usar 'icat' para extraer un documento eliminado referenciado por su numero de inodo desde una imagen NTFS.
● Preguntas frecuentes
¿Qué es The Sleuth Kit?
Biblioteca y conjunto de herramientas de linea de comandos de codigo abierto para el analisis de bajo nivel de imagenes de disco y sistemas de archivos, mantenido por Brian Carrier. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa The Sleuth Kit?
Biblioteca y conjunto de herramientas de linea de comandos de codigo abierto para el analisis de bajo nivel de imagenes de disco y sistemas de archivos, mantenido por Brian Carrier.
¿Cómo funciona The Sleuth Kit?
The Sleuth Kit (TSK) es una biblioteca forense y un conjunto de herramientas de linea de comandos de codigo abierto para examinar imagenes de disco crudas y sistemas de archivos a nivel de bytes y metadatos. Derivado originalmente de The Coroner's Toolkit, TSK es mantenido desde 2003 por Brian Carrier bajo licencia BSD/CPL. Soporta NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 y Yaffs2, y trabaja con imagenes raw y Expert Witness Format (E01). Los investigadores utilizan utilidades como 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' y 'tsk_loaddb' para enumerar archivos (incluidos borrados), analizar tablas de particiones, recuperar espacio no asignado y construir bases SQLite para analisis posteriores. TSK es el motor detras de Autopsy y de muchas otras herramientas forenses comerciales y de codigo abierto.
¿Cómo defenderse de The Sleuth Kit?
Las defensas contra The Sleuth Kit combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para The Sleuth Kit?
Nombres alternativos comunes: TSK, Sleuth Kit.
● Términos relacionados
- forensics-ir№ 078
Autopsy
Plataforma de informatica forense de codigo abierto desarrollada por Brian Carrier y Basis Technology que ofrece una interfaz grafica para The Sleuth Kit y un amplio conjunto de modulos de analisis.
- forensics-ir№ 426
Imagen forense
Copia bit a bit de un soporte de almacenamiento, verificada con hashes criptográficos, para análisis forense y como evidencia admisible.
- forensics-ir№ 415
Tallado de archivos
Técnica forense que recupera archivos del espacio no asignado o datos en bruto reconociendo firmas, cabeceras y pies de archivo sin depender de los metadatos del sistema de archivos.
- forensics-ir№ 1156
Análisis de línea de tiempo
Técnica forense que reconstruye la secuencia cronológica de eventos en un sistema correlacionando marcas de tiempo de archivos, registros y otros artefactos.
- forensics-ir№ 162
Cadena de custodia
Registro cronológico y documentado de cada persona, ubicación y acción que afecta una evidencia desde su incautación hasta su disposición final.
- forensics-ir№ 425
Verificacion forense de hash
Practica de calcular y comparar hashes criptograficos (tipicamente MD5 y SHA-256) de las imagenes forenses y los soportes originales para demostrar la integridad de la evidencia.