The Sleuth Kit (TSK) представляет собой библиотеку и набор консольных программ, предназначенных для проведения анализа данных на произвольных файловых системах. Используя это ПО специалисты компьютерной криминалистики могут идентифицировать и восстановить удаленные данные из образов, снятых во время расследования или с работающих систем. Специалисты могут проверить программы на предмет несанкционированных действий и расширить, при необходимости, функциональность.
TSK позволяет работать с дисками напрямую, либо с образами, снятыми при помощи программ вроде dd. Каждая программа из пакета является низкоуровневой и выполняет одну простую задачу.
TSK основан на The Coroner’s Toolkit и позволяет выполнять следующие операции:
- анализ сырых (Raw) файловых систем, систем Expert Witness (EnCase) и AFF;
- поддерживаются следующие файловые системы: NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS и ISO 9660;
- работа на «живых» системах в ходе расследования инцидента с доступом даже к тем файлам, которые были скрыты при помощи т.н. руткитов (rootkits);
- вывод списка удаленных файлов;
- отображение всех подробностей, связанных с атрибутами NTFS (включая все альтернативные потоки);
- определение типа файловой системы и отображение ее структуры;
- составление графика активности пользователя;
- ils отображает список всех метаданных (например, таких как Inode);
- blkls отображает блоки с данными внутри файловых систем;
- fls выводит список существующих и удаленных файлов;
- fsstat выводит статистическую информацию об образе или носителе;
- ffind ищет имя файла для указанной области метаданных;
- disk_stat определяет существует ли т.н. Host Protected Area;
- и многое другое.
У TSK имеется графический интерфейс — The Autopsy Forensic Browser.
Инструкция:
Версия для Windows и Linux.
Автор:Brian Carrier
Язык интерфейса: English
Пароль на архив:
Скачать бесплатно
The Sleuth Kit
Отличный инструмент. Раньше, пару лет назад в течение целого года был баг, делающий невозможным исследование больших файловых систем FAT. Сейчас незаменивая вещь для специалистов в области иследования компьютерных преступлений.