The Sleuth Kit
The Sleuth Kit 是什么?
The Sleuth Kit由 Brian Carrier 维护的开源取证库及命令行工具集,用于对磁盘镜像和文件系统进行底层分析。
The Sleuth Kit(TSK)是一套开源取证库与命令行工具,用于在字节和元数据层面检查原始磁盘镜像与文件系统。TSK 最初由 The Coroner's Toolkit 演化而来,自 2003 年起由 Brian Carrier 以 BSD/CPL 许可证维护。它支持 NTFS、FAT、exFAT、Ext2/3/4、HFS+、APFS、ISO 9660、Yaffs2,以及 raw 与 Expert Witness Format (E01) 镜像。调查人员使用 'fls'、'icat'、'mmls'、'fsstat'、'tsk_recover' 和 'tsk_loaddb' 等工具枚举文件(含已删除条目)、解析分区表、对未分配空间进行文件雕刻,并构建 SQLite 数据库供后续分析。TSK 是 Autopsy 以及许多其他商用和开源取证工具背后的核心引擎。
● 示例
- 01
执行 'fls -r -m / image.E01' 生成 body-file,以便用 mactime 进行时间线分析。
- 02
使用 'icat' 根据 inode 编号从 NTFS 镜像中提取被删除的文档。
● 常见问题
The Sleuth Kit 是什么?
由 Brian Carrier 维护的开源取证库及命令行工具集,用于对磁盘镜像和文件系统进行底层分析。 它属于网络安全的 取证与应急响应 分类。
The Sleuth Kit 是什么意思?
由 Brian Carrier 维护的开源取证库及命令行工具集,用于对磁盘镜像和文件系统进行底层分析。
The Sleuth Kit 是如何工作的?
The Sleuth Kit(TSK)是一套开源取证库与命令行工具,用于在字节和元数据层面检查原始磁盘镜像与文件系统。TSK 最初由 The Coroner's Toolkit 演化而来,自 2003 年起由 Brian Carrier 以 BSD/CPL 许可证维护。它支持 NTFS、FAT、exFAT、Ext2/3/4、HFS+、APFS、ISO 9660、Yaffs2,以及 raw 与 Expert Witness Format (E01) 镜像。调查人员使用 'fls'、'icat'、'mmls'、'fsstat'、'tsk_recover' 和 'tsk_loaddb' 等工具枚举文件(含已删除条目)、解析分区表、对未分配空间进行文件雕刻,并构建 SQLite 数据库供后续分析。TSK 是 Autopsy 以及许多其他商用和开源取证工具背后的核心引擎。
如何防御 The Sleuth Kit?
针对 The Sleuth Kit 的防御通常结合技术控制与运营实践,详见上方完整定义。
The Sleuth Kit 还有哪些其他名称?
常见的别称包括: TSK, Sleuth Kit。
● 相关术语
- forensics-ir№ 078
Autopsy
由 Brian Carrier 与 Basis Technology 主导开发的开源数字取证平台,为 The Sleuth Kit 提供图形界面并附带丰富的分析模块。
- forensics-ir№ 426
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
- forensics-ir№ 415
文件雕刻
一种不依赖文件系统元数据,通过识别文件特征码、头部和尾部,从未分配空间或原始数据中恢复文件的取证技术。
- forensics-ir№ 1156
时间线分析
一种取证技术,通过关联文件、日志和其他工件的时间戳,重建系统上事件的时间顺序。
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
- forensics-ir№ 425
取证哈希验证
对取证镜像与原始介质计算并比对加密哈希(通常为 MD5 和 SHA-256),以证明证据完整性的实务做法。