Das Sleuth Kit. Free- und Open-Source-Befehlszeilen-Datei- und Volumensystem-Forensic-Analyse-Tools
Jetzt downloaden

Das Sleuth Kit. Ranking & Zusammenfassung

Das Sleuth Kit. Stichworte

untersuchen analysieren Extrakt Dateisystem prüfen. Trennwand extrahieren. Dateisystem analysieren

Das Sleuth Kit. Beschreibung

Kostenlose und Open Source-Befehlszeilen-Datei- und Volume-System Forensische Analysewerkzeuge Das Sleuth Kit (zuvor als Aufgabe bekannt) ist eine Sammlung von UNIX-basierten Befehlszeilen-Datei- und Volumensystem-Forensic-Analyse-Tools. Mit den Dateisystem-Tools können Sie Dateisysteme eines verdächtigen Computers auf nicht aufdringliche Weise untersuchen. Da sich die Tools nicht auf das Betriebssystem verlassen, um die Dateisysteme zu verarbeiten, werden gelöschte und versteckte Inhalte angezeigt. Die Tools des Volume Systems (Media Management) ermöglichen es Ihnen, das Layout von Datenträgern und anderen Medien zu untersuchen. Das Sleuth-Kit unterstützt DOS-Partitionen, BSD-Partitionen (Festplattenkennzeichnungen), MAC-Partitionen, Sonnenscheiben (Volume-Inhaltsverzeichnis) und GPT-Festplatten. Mit diesen Tools können Sie feststellen, wo sich Partitionen befinden, und sie extrahieren, damit sie mit Dateisystemanalyse-Tools analysiert werden können. Wenn eine vollständige Analyse eines Systems ausführt, wissen wir alle, dass Befehlszeilen-Tools mit langwieriger Befehlszeilen werden. Der Autopsie-Forensic-Browser ist eine grafische Schnittstelle zu den Werkzeugen im Sleuth-Kit, mit dem Sie leichter eine Untersuchung durchführen können. Autopsie bietet Fallverwaltung, Image Integrity, Keywordsuche und andere automatisierte Operationen. Die Tools rennen auf Mac OS X, FreeBSD, OpenBSD, Linux und Solaris und kann Fett, NTFS, UFS, EXT2FS und EXT3FS analysieren: der Sleuth Das Kit wird unter den gemeinsamen öffentlichen Lizenzen der Öffentlichkeit und der IBM freigelassen. Hier sind einige wichtige Funktionen von "The Sleuth Kit": · Analysiert RAW (I.E. DD), Sachverständige (I.E.E. CASY) und AFF-Dateisystem- und Festplattenbilder. (Sleuth Kit Informer # 11) · Unterstützt die NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS und ISO 9660-Dateisysteme (selbst wenn das Host-Betriebssystem nicht oder eine andere endische Anordnung hat). · Werkzeuge können während der Vorfallantwort auf einem Live-Unix-System ausgeführt werden. Diese Tools zeigen Dateien, die von Rootkits "versteckt" wurden, und ändern nicht die A-Zeit von Dateien, die angezeigt werden. (Sleuth Kit Informer # 13) · Liste zugewiesenen und gelöschten Namen von ASCII- und Unicode-Dateinamen. (SLEUTH KIT Informer # 14 (Fettrückgewinnung), # 16 (NTFS-Orphan-Dateien)) · Zeigen Sie die Details und den Inhalt aller NTFS-Attribute an (einschließlich aller alternativen Datenströme). · Dateisystem- und Meta-Daten-Strukturdetails anzeigen. · Erstellen Sie Zeitzeilen der Dateiaktivität, die in ein Spread-Blatt importiert werden können, um Diagramme und Berichte zu erstellen. (Sleuth Kit Informer # 5) · Lookup-Datei-Hashes in einer Hash-Datenbank, z. B. den Nist NSRL, Hash-Keeper und benutzerdefinierte Datenbanken, die mit dem Tool 'MD5SUM' erstellt wurden. (Sleuth Kit Informer # 6, Sleuth Kit Informer # 7) · Organisieren Sie Dateien basierend auf ihrem Typ (z. B. alle ausführbaren Ausführungen, JPEGs und Dokumente sind getrennt). Seiten der Miniaturbilder können aus grafischen Bildern zur schnellen Analyse bestehen. (Sleuth Kit Informer # 3, # 4, # 5) Was ist neu in dieser Version: · Fehlerbehebung: Crash-Fehler in IFIND auf dem FAT-FAT-Dateisystem festgelegt. Bug: 2265927. · Fehlerbehebung: Fester Absturzfehler in IStat auf ExtX $ -Arwanfiles DIR. Bug: 2266104. · UPDATE: Aktualisierte FLS-Man-Seite. · Update: Die TODO-Datei wurde entfernt und den Tracker für Fehler- und Merkmalsanfragen verwenden. · Fehlerbehebung: Falsch falscher Blockstatus in file_walk für komprimierte Dateien festgelegt (Fehler: 2475246) · Fehlerbehebung: FS_INFO-Feld von FS_Meta entfernt, da es nicht eingestellt wurde und in 3.0 entfernt wurde. Berichtet von Rob Joyce und Judson Powers. · Fehlerbehebung: Orphan-Dateien und NTFS-Dateien, die über das übergeordnete Verzeichnis gefunden wurden, haben einen unbekannten Dateinamentyp (anstelle von Metatypen). (Bug: 2389901). Von Barry Grundy berichtet. · Fehlerbehebung: Der ISO9660-Fehler behoben, in dem große Verzeichnisinhalte nicht angezeigt wurden. (Bug: 2503552). Von Tom Black berichtet. · Fehlerbehebung: Behobener Bug 2534449, wo zusätzliche NTFS-Dateien angezeigt wurden, wenn die MFT-Adresse in 0 geändert wurde, da FS_DIR_ADD die Adresse und den Namen überprüft hat. Von Andy Bontoft berichtet. · Update: Fixed Fix für Bug 25344449. Der Fix befindet sich in IFIND anstelle von FS_DIR_ADD (). · Update: RPM Spec-Datei von Morgan WeetMam hinzugefügt.

Das Sleuth Kit. Zugehörige Software