The Sleuth Kit
Что такое The Sleuth Kit?
The Sleuth KitОткрытая библиотека и набор утилит командной строки для низкоуровневого анализа образов дисков и файловых систем, сопровождаемые Брайаном Каррьером.
The Sleuth Kit (TSK) — это открытая форензическая библиотека и набор утилит командной строки для исследования «сырых» образов дисков и файловых систем на уровне байтов и метаданных. Изначально TSK был ответвлением The Coroner's Toolkit и с 2003 года сопровождается Брайаном Каррьером под лицензией BSD/CPL. Он поддерживает NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 и Yaffs2 и работает с образами в формате raw и Expert Witness Format (E01). Исследователи используют такие утилиты, как 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' и 'tsk_loaddb', чтобы перечислить файлы (включая удалённые), разобрать таблицы разделов, провести карвинг нераспределённого пространства и построить базы SQLite для дальнейшего анализа. TSK — движок, лежащий в основе Autopsy и многих других коммерческих и открытых форензических инструментов.
● Примеры
- 01
Запуск 'fls -r -m / image.E01' для создания body-файла и последующего анализа временной шкалы при помощи mactime.
- 02
Использование 'icat' для извлечения удалённого документа по его номеру inode из NTFS-образа.
● Частые вопросы
Что такое The Sleuth Kit?
Открытая библиотека и набор утилит командной строки для низкоуровневого анализа образов дисков и файловых систем, сопровождаемые Брайаном Каррьером. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает The Sleuth Kit?
Открытая библиотека и набор утилит командной строки для низкоуровневого анализа образов дисков и файловых систем, сопровождаемые Брайаном Каррьером.
Как защититься от The Sleuth Kit?
Защита от The Sleuth Kit обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия The Sleuth Kit?
Распространённые альтернативные названия: TSK, Sleuth Kit.