The Sleuth Kit
The Sleuth Kit とは何ですか?
The Sleuth Kitディスクイメージとファイルシステムを低レベルで解析するためのオープンソースライブラリおよびコマンドラインツール群。Brian Carrier が維持している。
The Sleuth Kit (TSK) は、ディスクイメージやファイルシステムをバイトおよびメタデータレベルで調査するためのオープンソースのフォレンジックライブラリおよびコマンドラインツール群です。元々 The Coroner's Toolkit から派生し、2003 年以降 Brian Carrier が BSD/CPL ライセンスの下で維持しています。NTFS、FAT、exFAT、Ext2/3/4、HFS+、APFS、ISO 9660、Yaffs2 をサポートし、RAW および Expert Witness Format (E01) のイメージを扱えます。調査担当者は 'fls'、'icat'、'mmls'、'fsstat'、'tsk_recover'、'tsk_loaddb' などのユーティリティを用いて、削除エントリを含むファイルの列挙、パーティションテーブルの解析、未割当領域のカービング、後続解析用の SQLite データベース構築などを行います。TSK は Autopsy をはじめ、多くの商用・オープンソースのフォレンジックツールの基盤エンジンとなっています。
● 例
- 01
'fls -r -m / image.E01' を実行して body-file を生成し、mactime でタイムライン解析を行う事例。
- 02
'icat' を用いて NTFS イメージから i ノード番号で参照される削除済みドキュメントを抽出する事例。
● よくある質問
The Sleuth Kit とは何ですか?
ディスクイメージとファイルシステムを低レベルで解析するためのオープンソースライブラリおよびコマンドラインツール群。Brian Carrier が維持している。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
The Sleuth Kit とはどういう意味ですか?
ディスクイメージとファイルシステムを低レベルで解析するためのオープンソースライブラリおよびコマンドラインツール群。Brian Carrier が維持している。
The Sleuth Kit からどのように防御しますか?
The Sleuth Kit に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
The Sleuth Kit の別名は何ですか?
一般的な別名: TSK, Sleuth Kit。