The Sleuth Kit
O que é The Sleuth Kit?
The Sleuth KitBiblioteca e conjunto de ferramentas de linha de comando open source para analise de baixo nivel de imagens de disco e sistemas de ficheiros, mantida por Brian Carrier.
O The Sleuth Kit (TSK) e uma biblioteca forense e um conjunto de ferramentas de linha de comando open source para examinar imagens de disco brutas e sistemas de ficheiros ao nivel de bytes e metadados. Originalmente derivado do The Coroner's Toolkit, o TSK e mantido desde 2003 por Brian Carrier sob licenca BSD/CPL. Suporta NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 e Yaffs2 e trabalha com imagens raw e Expert Witness Format (E01). Os investigadores utilizam ferramentas como 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' e 'tsk_loaddb' para enumerar ficheiros (incluindo eliminados), analisar tabelas de particoes, fazer carving do espaco nao alocado e construir bases SQLite para analise posterior. O TSK e o motor por detras do Autopsy e de muitas outras ferramentas forenses comerciais e open source.
● Exemplos
- 01
Executar 'fls -r -m / image.E01' para gerar um body-file utilizavel com mactime para analise de linha do tempo.
- 02
Usar 'icat' para extrair um documento eliminado referenciado pelo seu numero de inode a partir de uma imagem NTFS.
● Perguntas frequentes
O que é The Sleuth Kit?
Biblioteca e conjunto de ferramentas de linha de comando open source para analise de baixo nivel de imagens de disco e sistemas de ficheiros, mantida por Brian Carrier. Pertence à categoria Forense e resposta da cibersegurança.
O que significa The Sleuth Kit?
Biblioteca e conjunto de ferramentas de linha de comando open source para analise de baixo nivel de imagens de disco e sistemas de ficheiros, mantida por Brian Carrier.
Como funciona The Sleuth Kit?
O The Sleuth Kit (TSK) e uma biblioteca forense e um conjunto de ferramentas de linha de comando open source para examinar imagens de disco brutas e sistemas de ficheiros ao nivel de bytes e metadados. Originalmente derivado do The Coroner's Toolkit, o TSK e mantido desde 2003 por Brian Carrier sob licenca BSD/CPL. Suporta NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 e Yaffs2 e trabalha com imagens raw e Expert Witness Format (E01). Os investigadores utilizam ferramentas como 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' e 'tsk_loaddb' para enumerar ficheiros (incluindo eliminados), analisar tabelas de particoes, fazer carving do espaco nao alocado e construir bases SQLite para analise posterior. O TSK e o motor por detras do Autopsy e de muitas outras ferramentas forenses comerciais e open source.
Como se defender contra The Sleuth Kit?
As defesas contra The Sleuth Kit costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para The Sleuth Kit?
Nomes alternativos comuns: TSK, Sleuth Kit.
● Termos relacionados
- forensics-ir№ 078
Autopsy
Plataforma open source de forense digital desenvolvida por Brian Carrier e pela Basis Technology, que fornece uma interface grafica para o The Sleuth Kit e um vasto conjunto de modulos de analise.
- forensics-ir№ 426
Imagem forense
Cópia bit a bit de um suporte de armazenamento, verificada por hashes criptográficos, usada para análise forense e como evidência admissível.
- forensics-ir№ 415
Recuperação por assinatura (file carving)
Técnica forense que recupera ficheiros de espaço não alocado ou dados brutos reconhecendo assinaturas, cabeçalhos e rodapés, sem depender dos metadados do sistema de ficheiros.
- forensics-ir№ 1156
Análise de linha do tempo
Técnica forense que reconstrói a sequência cronológica de eventos num sistema, correlacionando carimbos temporais de ficheiros, registos e outros artefactos.
- forensics-ir№ 162
Cadeia de custódia
Registo cronológico e documentado de cada pessoa, local e ação que afetam uma evidência desde a apreensão até à sua disposição final.
- forensics-ir№ 425
Verificacao forense de hash
Pratica de calcular e comparar hashes criptograficos (geralmente MD5 e SHA-256) das imagens forenses e dos suportes originais para provar a integridade da evidencia.