El Sleuth Kit ( TSK ) es una biblioteca y colección de utilidades basadas en Unix y Windows para extraer datos de unidades de disco y otro almacenamiento a fin de facilitar el análisis forense de los sistemas informáticos. Constituye la base de Autopsy, una herramienta más conocida que es esencialmente una interfaz gráfica de usuario para las utilidades de línea de comandos incluidas con The Sleuth Kit.
Autor (es) original (es) | Brian Carrier |
---|---|
Lanzamiento estable | 4.10.1 / 9 de noviembre de 2020 [1] |
Repositorio | |
Escrito en | C , Perl |
Sistema operativo | Tipo Unix , Windows |
Tipo | Informática forense |
Licencia | IPL , CPL , GPL |
La colección es de código abierto y está protegida por la GPL, la CPL y la IPL. El software se encuentra en desarrollo activo y cuenta con el apoyo de un equipo de desarrolladores. El desarrollo inicial fue realizado por Brian Carrier [2], quien lo basó en The Coroner's Toolkit . Es la plataforma sucesora oficial. [3]
El kit Sleuth es capaz de analizar los sistemas de archivos NTFS , FAT / ExFAT , UFS 1/2, Ext2 , Ext3 , Ext4 , HFS , ISO 9660 y YAFFS2 , ya sea por separado o dentro de imágenes de disco almacenadas en formatos RAW ( dd ), Expert Witness o AFF. . [4] El Sleuth Kit se puede utilizar para examinar la mayoría de Microsoft Windows , la mayoría de Apple Macintosh OSX , muchas Linux y algunas otras computadoras UNIX .
El kit de detective se puede utilizar a través de las herramientas de línea de comandos incluidas , o como una biblioteca integrada en una herramienta forense digital separada, como Autopsy o log2timeline / plaso.
Herramientas
Algunas de las herramientas incluidas en The Sleuth Kit incluyen:
- ils enumera todas las entradas de metadatos , como un Inode .
- blkls muestra bloques de datos dentro de un sistema de archivos (anteriormente llamado dls).
- fls enumera los nombres de archivos asignados y no asignados dentro de un sistema de archivos.
- fsstat muestra información estadística del sistema de archivos sobre una imagen o medio de almacenamiento.
- ffind busca nombres de archivos que apuntan a una entrada de metadatos especificada.
- mactime crea una línea de tiempo de todos los archivos en función de sus tiempos MAC .
- disk_stat (actualmente solo para Linux) descubre la existencia de un Área protegida del host .
Aplicaciones
El kit de detective se puede utilizar
Ver también
- Autopsy (software) : una interfaz gráfica de usuario para The Sleuth Kit.
- CAINE Linux : incluye el kit de detective
Referencias
- ^ "Lanzamientos - sleuthkit / sleuthkit" . Consultado el 9 de noviembre de 2020 , a través de GitHub .
- ^ "Acerca de" . www.sleuthkit.org . Brian Carrier . Consultado el 30 de agosto de 2016 .
- ^ http://www.porcupine.org/forensics/tct.html
- ^ "Análisis del sistema de archivos y volúmenes" . www.sleuthkit.org . Brian Carrier . Consultado el 30 de agosto de 2016 .
- ^ "Autopsia: Lección 1: Análisis de archivos JPEG eliminados" . www.computersecuritystudent.com . Consultado el 20 de junio de 2020 .
- ^ "Análisis de FS - SleuthKitWiki" . wiki.sleuthkit.org . Consultado el 20 de junio de 2020 .
- ^ "The Sleuth Kit - analiza imágenes de disco y recupera archivos" . LinuxLinks . Consultado el 20 de junio de 2020 .
enlaces externos
- Página web oficial