The Sleuth Kit ( TSK ) es una biblioteca y una colección de utilidades basadas en Unix y Windows para extraer datos de unidades de disco y otros dispositivos de almacenamiento con el fin de facilitar el análisis forense de sistemas informáticos. Forma la base de Autopsy , una herramienta más conocida que es esencialmente una interfaz gráfica de usuario para las utilidades de línea de comandos incluidas en The Sleuth Kit. [2] [3]
La colección es de código abierto y está protegida por las licencias GPL, CPL e IPL. El software se encuentra en desarrollo activo y cuenta con el apoyo de un equipo de desarrolladores. El desarrollo inicial estuvo a cargo de Brian Carrier [4] , quien lo basó en The Coroner's Toolkit . Es la plataforma sucesora oficial. [5]
El Sleuth Kit es capaz de analizar sistemas de archivos NTFS , FAT/ExFAT , UFS 1/2, Ext2 , Ext3 , Ext4 , HFS , ISO 9660 y YAFFS2 , ya sea por separado o dentro de imágenes de disco almacenadas en formatos raw ( dd ), Expert Witness o AFF. [6] El Sleuth Kit se puede utilizar para examinar la mayoría de los Microsoft Windows , la mayoría de Apple Macintosh OSX , muchos Linux y algunos otros ordenadores UNIX .
El Sleuth Kit se puede utilizar a través de las herramientas de línea de comandos incluidas o como una biblioteca integrada dentro de una herramienta forense digital independiente, como Autopsy o log2timeline/plaso.
Herramientas
Algunas de las herramientas incluidas en The Sleuth Kit incluyen:
- ils enumera todas las entradas de metadatos , como un Inodo .
- blkls muestra bloques de datos dentro de un sistema de archivos (antes llamado dls).
- fls enumera los nombres de archivos asignados y no asignados dentro de un sistema de archivos.
- fsstat muestra información estadística del sistema de archivos sobre una imagen o medio de almacenamiento.
- ffind busca nombres de archivos que apunten a una entrada de metadatos específica.
- mactime crea una línea de tiempo de todos los archivos en función de sus tiempos MAC .
- disk_stat (actualmente sólo para Linux) descubre la existencia de un Área protegida de host .
Aplicaciones
El kit de detective se puede utilizar
- para uso forense, su propósito principal
- para comprender qué datos están almacenados en una unidad de disco, incluso si el sistema operativo ha eliminado todos los metadatos.
- para recuperar archivos de imágenes borradas [7]
- resumiendo todos los archivos eliminados [8]
- buscar archivos por nombre o palabra clave incluida [9]
- Para uso de futuros historiadores que trabajen con dispositivos de almacenamiento informático.
Véase también
Referencias
- ^ "Versión 4.12.1". 29 de agosto de 2023. Consultado el 19 de septiembre de 2023 .
- ^ Parasram, Shiva VN (2017). Análisis forense digital con Kali Linux: adquisición de datos, investigación digital y análisis de amenazas utilizando herramientas de Kali Linux. Birmingham, Reino Unido. ISBN 978-1-78862-957-7.OCLC 1020288734 .
{{cite book}}
: CS1 maint: location missing publisher (link) - ^ Altheide, Cory (2011). Análisis forense digital con herramientas de código abierto: uso de herramientas de plataforma de código abierto para realizar análisis forense informático en sistemas objetivo: Windows, Mac, Linux, UNIX, etc. Harlan A. Carvey. Burlington, MA: Syngress. ISBN 978-1-59749-587-5.OCLC 713324784 .
- ^ "Acerca de". www.sleuthkit.org . Brian Carrier . Consultado el 30 de agosto de 2016 .
- ^ "El kit de herramientas del forense (TCT)".
- ^ "Análisis de sistemas de archivos y volúmenes". www.sleuthkit.org . Brian Carrier . Consultado el 30 de agosto de 2016 .
- ^ "Autopsia: Lección 1: Análisis de archivos JPEG eliminados". www.computersecuritystudent.com . Consultado el 20 de junio de 2020 .
- ^ "Análisis de FS - SleuthKitWiki". wiki.sleuthkit.org . Consultado el 20 de junio de 2020 .
- ^ "The Sleuth Kit: analiza imágenes de disco y recupera archivos". LinuxLinks . Consultado el 20 de junio de 2020 .
Enlaces externos