Главная » Форензика » The Sleuth Kit
The Sleuth Kit - Анализ и восстановление данных

The Sleuth Kit

The Sleuth Kit (TSK) представляет собой библиотеку и набор консольных программ, предназначенных для проведения анализа данных на произвольных файловых системах. Используя это ПО специалисты компьютерной криминалистики могут идентифицировать и восстановить удаленные данные из образов, снятых во время расследования или с работающих систем. Специалисты могут проверить программы на предмет несанкционированных действий и расширить, при необходимости, функциональность.

TSK позволяет работать с дисками напрямую, либо с образами, снятыми при помощи программ вроде dd. Каждая программа из пакета является низкоуровневой и выполняет одну простую задачу.

TSK основан на The Coroner’s Toolkit и позволяет выполнять следующие операции:

  • анализ сырых (Raw) файловых систем, систем Expert Witness (EnCase) и AFF;
  • поддерживаются следующие файловые системы: NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS и ISO 9660;
  • работа на «живых» системах в ходе расследования инцидента с доступом даже к тем файлам, которые были скрыты при помощи т.н. руткитов (rootkits);
  • вывод списка удаленных файлов;
  • отображение всех подробностей, связанных с атрибутами NTFS (включая все альтернативные потоки);
  • определение типа файловой системы и отображение ее структуры;
  • составление графика активности пользователя;
  • ils отображает список всех метаданных (например, таких как Inode);
  • blkls отображает блоки с данными внутри файловых систем;
  • fls выводит список существующих и удаленных файлов;
  • fsstat выводит статистическую информацию об образе или носителе;
  • ffind ищет имя файла для указанной области метаданных;
  • disk_stat определяет существует ли т.н. Host Protected Area;
  • и многое другое.

У TSK имеется графический интерфейс — The Autopsy Forensic Browser.

Инструкция:
Версия для Windows и Linux.

Автор:Brian Carrier
Язык интерфейса: English
Пароль на архив:

The Sleuth KitСкачать бесплатно
The Sleuth Kit

Один комментарий

  1. CIA

    Отличный инструмент. Раньше, пару лет назад в течение целого года был баг, делающий невозможным исследование больших файловых систем FAT. Сейчас незаменивая вещь для специалистов в области иследования компьютерных преступлений.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *