The Sleuth Kit
The Sleuth Kit ist eine forensische Software-Sammlung für die Kommandozeile von informationstechnischen Systemen. Mit Hilfe dieser ist es möglich verschiedenste Informationen über ein Computersystem oder ein Speicherabbild (z. B. im Zuge einer manuellen forensischen Analyse) zu erhalten. Eine manuell durchgeführte Analyse oder Teilanalyse von Daten bringt meist genaue Informationen über die Verwendung der Systeme und der darauf enthaltenen Informationen.
The Sleuth Kit | |
---|---|
Ausgabe einer kleinen Image Analyse mit Sleuthkit | |
Basisdaten | |
Maintainer | Brian Carrier |
Entwickler | Brian Carrier |
Aktuelle Version | 4.8.0 (24. Januar 2020[1]) |
Betriebssystem | Linux, Unix, Mac OS X, Windows |
Programmiersprache | C[2], Perl[3] |
Kategorie | Forensische Software |
Lizenz | Lizenzbedingungen |
deutschsprachig | nein |
sleuthkit.org |
Es ist möglich einzelne Untersuchungsschritte miteinander in Skripten zu automatisieren. Dadurch ist eine gezielte und beschleunigte Verwendung zur Untersuchung möglich. Diese Funktionalität wird auch in der grafischen Benutzeroberfläche, dem sogenannten Autopsy Forensic Browser verwendet.
Sleuth Kit unterstützt dabei folgende Dateisysteme: NTFS, FAT, UFS 1, UFS 2, Ext2, Ext3, Ext4, HFS, YAFFS2 und ISO 9660.[4]
Die einzelnen Werkzeuge
In der Sammlung Sleuth Kit sind eine Vielzahl an thematisch unterschiedlichen Einzelprogrammen enthalten.
Dateisystem Ebene
- fsstat zeigt Details zum untersuchten Dateisystem an. Dazu zählen Größenangaben, Layout und Bezeichnungen.
Dateinamen Ebene
- ffind untersucht die Dateistrukturen und findet allozierte und un-allozierte Dateinamen, welche auf Metadatenstrukturen verweisen.
- fls listet allozierte und gelöschte Dateien innerhalb eines gegebenen Verzeichnisses auf.
Metadaten Ebene
- icat ermöglicht Dateneinheiten einer Datei anhand ihrer Metadatenadressen zu extrahieren.
- ifind findet zu einem gegebenen Dateinamen die entsprechenden Metadaten oder die Metadaten die zu einer bestimmten Dateneinheit verweisen.
- ils listet die Metadatenstrukturen und deren Inhalt auf.
- istat listet Statistiken und Details zu einer gegebenen Metadatenstruktur auf.
Dateneinheit Ebene
- blkcat extrahiert den Inhalt einer bestimmten Dateneinheit.
- blkls kann Details zu Dateneinheiten auflisten und den un-allozierten Speicherplatz eines Dateisystems extrahieren.
- blkstat zeigt Statistiken zu einer gegebenen Dateneinheit an.
- blkcalc berechnet den Ort an dem Daten am Originaldatenträger zu finden sind, die am Image im un-allozierten Speicherbereich gefunden wurden.
Dateisystemjournal Ebene
- jcat zeigt den Inhalt eines gegebenen Journal-Blocks an.
- jls listet die Einträge im Dateisystemjournal auf.
- mmls zeigt das Layout eines Dateisystems an. Es listet dabei auch nicht allokierte Speicherbereiche auf und macht Angaben über die Typen, Positionen und Größen der Partitionen.
Speicherabbild
- img_stat zeigt Details über das Dateisystem-Image an.
- img_cat zeigt die Rohdaten des Dateisystem-Images an.
Sonstiges
- mactime erstellt eine Zeitlinie aus den Ausgaben von ils und fls.
- sorter sortiert Dateien anhand ihrer Dateitypen und überprüft ihre Dateierweiterung und führt Hashdatenbankvergleiche durch.
- sigfind sucht Binärwerte in einer Dateistruktur.
Referenzen
- Versionsgeschichte der Software
- The sleuthkit Open Source Project on Open Hub: Languages Page. In: Open Hub. (abgerufen am 3. September 2018).
- www.sleuthkit.org. (abgerufen am 7. November 2018).
- Funktionalität / Featureliste
Weblinks
- Offizielle Projekt-Website (englisch)