The Sleuth Kit
Qu'est-ce que The Sleuth Kit ?
The Sleuth KitBibliotheque open source et ensemble d'outils en ligne de commande pour l'analyse bas niveau d'images disque et de systemes de fichiers, maintenus par Brian Carrier.
The Sleuth Kit (TSK) est une bibliotheque forensique open source et un ensemble d'outils en ligne de commande permettant d'examiner des images disque brutes et des systemes de fichiers au niveau des octets et des metadonnees. Derive a l'origine de The Coroner's Toolkit, TSK est maintenu depuis 2003 par Brian Carrier sous licence BSD/CPL. Il prend en charge NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 et Yaffs2, et travaille avec des images raw et Expert Witness Format (E01). Les enqueteurs utilisent des utilitaires tels que 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' et 'tsk_loaddb' pour enumerer les fichiers (y compris supprimes), analyser les tables de partition, faire du carving de l'espace non alloue et construire des bases SQLite pour analyses ulterieures. TSK est le moteur d'Autopsy et de nombreux autres outils forensiques commerciaux et open source.
● Exemples
- 01
Executer 'fls -r -m / image.E01' pour generer un body-file utilisable avec mactime pour l'analyse de timeline.
- 02
Utiliser 'icat' pour extraire un document supprime reference par son numero d'inode depuis une image NTFS.
● Questions fréquentes
Qu'est-ce que The Sleuth Kit ?
Bibliotheque open source et ensemble d'outils en ligne de commande pour l'analyse bas niveau d'images disque et de systemes de fichiers, maintenus par Brian Carrier. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie The Sleuth Kit ?
Bibliotheque open source et ensemble d'outils en ligne de commande pour l'analyse bas niveau d'images disque et de systemes de fichiers, maintenus par Brian Carrier.
Comment fonctionne The Sleuth Kit ?
The Sleuth Kit (TSK) est une bibliotheque forensique open source et un ensemble d'outils en ligne de commande permettant d'examiner des images disque brutes et des systemes de fichiers au niveau des octets et des metadonnees. Derive a l'origine de The Coroner's Toolkit, TSK est maintenu depuis 2003 par Brian Carrier sous licence BSD/CPL. Il prend en charge NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 et Yaffs2, et travaille avec des images raw et Expert Witness Format (E01). Les enqueteurs utilisent des utilitaires tels que 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' et 'tsk_loaddb' pour enumerer les fichiers (y compris supprimes), analyser les tables de partition, faire du carving de l'espace non alloue et construire des bases SQLite pour analyses ulterieures. TSK est le moteur d'Autopsy et de nombreux autres outils forensiques commerciaux et open source.
Comment se défendre contre The Sleuth Kit ?
Les défenses contre The Sleuth Kit combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de The Sleuth Kit ?
Noms alternatifs courants : TSK, Sleuth Kit.
● Termes liés
- forensics-ir№ 078
Autopsy
Plateforme open source d'investigation numerique developpee par Brian Carrier et Basis Technology, qui offre une interface graphique pour The Sleuth Kit et un riche ensemble de modules d'analyse.
- forensics-ir№ 426
Imagerie forensique
Copie bit à bit d'un support de stockage, vérifiée par empreintes cryptographiques, exploitable pour l'analyse et recevable en justice.
- forensics-ir№ 415
Carving de fichiers
Technique forensique qui récupère des fichiers depuis l'espace non alloué ou des données brutes en reconnaissant signatures, en-têtes et pieds de fichier, sans recourir aux métadonnées du système de fichiers.
- forensics-ir№ 1156
Analyse de chronologie
Technique forensique qui reconstitue la séquence chronologique des événements d'un système en corrélant les horodatages des fichiers, des journaux et d'autres artefacts.
- forensics-ir№ 162
Chaîne de possession
Traçabilité chronologique et documentée de chaque personne, lieu et action ayant affecté une preuve, de la saisie jusqu'à son sort final.
- forensics-ir№ 425
Verification d'empreinte forensique
Pratique consistant a calculer et comparer des empreintes cryptographiques (generalement MD5 et SHA-256) des images forensiques et des supports sources pour prouver l'integrite des preuves.