The Sleuth Kit
Что такое The Sleuth Kit?
The Sleuth KitОткрытая библиотека и набор утилит командной строки для низкоуровневого анализа образов дисков и файловых систем, сопровождаемые Брайаном Каррьером.
The Sleuth Kit (TSK) — это открытая форензическая библиотека и набор утилит командной строки для исследования «сырых» образов дисков и файловых систем на уровне байтов и метаданных. Изначально TSK был ответвлением The Coroner's Toolkit и с 2003 года сопровождается Брайаном Каррьером под лицензией BSD/CPL. Он поддерживает NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 и Yaffs2 и работает с образами в формате raw и Expert Witness Format (E01). Исследователи используют такие утилиты, как 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' и 'tsk_loaddb', чтобы перечислить файлы (включая удалённые), разобрать таблицы разделов, провести карвинг нераспределённого пространства и построить базы SQLite для дальнейшего анализа. TSK — движок, лежащий в основе Autopsy и многих других коммерческих и открытых форензических инструментов.
● Примеры
- 01
Запуск 'fls -r -m / image.E01' для создания body-файла и последующего анализа временной шкалы при помощи mactime.
- 02
Использование 'icat' для извлечения удалённого документа по его номеру inode из NTFS-образа.
● Частые вопросы
Что такое The Sleuth Kit?
Открытая библиотека и набор утилит командной строки для низкоуровневого анализа образов дисков и файловых систем, сопровождаемые Брайаном Каррьером. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает The Sleuth Kit?
Открытая библиотека и набор утилит командной строки для низкоуровневого анализа образов дисков и файловых систем, сопровождаемые Брайаном Каррьером.
Как работает The Sleuth Kit?
The Sleuth Kit (TSK) — это открытая форензическая библиотека и набор утилит командной строки для исследования «сырых» образов дисков и файловых систем на уровне байтов и метаданных. Изначально TSK был ответвлением The Coroner's Toolkit и с 2003 года сопровождается Брайаном Каррьером под лицензией BSD/CPL. Он поддерживает NTFS, FAT, exFAT, Ext2/3/4, HFS+, APFS, ISO 9660 и Yaffs2 и работает с образами в формате raw и Expert Witness Format (E01). Исследователи используют такие утилиты, как 'fls', 'icat', 'mmls', 'fsstat', 'tsk_recover' и 'tsk_loaddb', чтобы перечислить файлы (включая удалённые), разобрать таблицы разделов, провести карвинг нераспределённого пространства и построить базы SQLite для дальнейшего анализа. TSK — движок, лежащий в основе Autopsy и многих других коммерческих и открытых форензических инструментов.
Как защититься от The Sleuth Kit?
Защита от The Sleuth Kit обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия The Sleuth Kit?
Распространённые альтернативные названия: TSK, Sleuth Kit.
● Связанные термины
- forensics-ir№ 078
Autopsy
Открытая платформа цифровой форензики, разрабатываемая Брайаном Каррьером и Basis Technology, предоставляющая графический интерфейс к The Sleuth Kit и обширный набор аналитических модулей.
- forensics-ir№ 426
Криминалистическое снятие образа
Побитовая копия носителя информации, проверенная криминалистическими хешами, для криминалистического анализа и допустимая в качестве доказательства.
- forensics-ir№ 415
Карвинг файлов
Криминалистический метод восстановления файлов из неразмеченной области или сырых данных по сигнатурам, заголовкам и колонтитулам, без использования метаданных файловой системы.
- forensics-ir№ 1156
Анализ временной шкалы
Криминалистический метод, восстанавливающий хронологическую последовательность событий в системе путём сопоставления меток времени файлов, журналов и других артефактов.
- forensics-ir№ 162
Цепочка хранения доказательств
Хронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.
- forensics-ir№ 425
Форензическая верификация хеша
Практика вычисления и сравнения криптографических хешей (обычно MD5 и SHA-256) форензических образов и исходных носителей для доказательства целостности доказательств.