The Sleuth Kit

aus Wikipedia, der freien Enzyklopädie
The Sleuth Kit

Sleuthkit Screenshot.tiff
Ausgabe einer kleinen Image Analyse mit Sleuthkit
Basisdaten

Maintainer Brian Carrier
Entwickler Brian Carrier
Aktuelle Version 4.8.0
(24. Januar 2020[1])
Betriebssystem Linux, Unix, Mac OS X, Windows
Kategorie Forensische Software
Lizenz Lizenzbedingungen
deutschsprachig nein
sleuthkit.org

The Sleuth Kit ist eine forensische Software-Sammlung für die Kommandozeile von informationstechnischen Systemen. Mit Hilfe dieser ist es möglich verschiedenste Informationen über ein Computersystem oder ein Speicherabbild (z. B. im Zuge einer manuellen forensischen Analyse) zu erhalten. Eine manuell durchgeführte Analyse oder Teilanalyse von Daten bringt meist genaue Informationen über die Verwendung der Systeme und der darauf enthaltenen Informationen.

Es ist möglich einzelne Untersuchungsschritte miteinander in Skripten zu automatisieren. Dadurch ist eine gezielte und beschleunigte Verwendung zur Untersuchung möglich. Diese Funktionalität wird auch in der grafischen Benutzeroberfläche, dem sogenannten Autopsy Forensic Browser verwendet.

Sleuth Kit unterstützt dabei folgende Dateisysteme: NTFS, FAT, UFS 1, UFS 2, Ext2, Ext3, Ext4, HFS, YAFFS2 und ISO 9660.[2]

Die einzelnen Werkzeuge

In der Sammlung Sleuth Kit sind eine Vielzahl an thematisch unterschiedlichen Einzelprogrammen enthalten.

Dateisystem Ebene

  • fsstat zeigt Details zum untersuchten Dateisystem an. Dazu zählen Größenangaben, Layout und Bezeichnungen.

Dateinamen Ebene

  • ffind untersucht die Dateistrukturen und findet allozierte und un-allozierte Dateinamen, welche auf Metadatenstrukturen verweisen.
  • fls listet allozierte und gelöschte Dateien innerhalb eines gegebenen Verzeichnisses auf.

Metadaten Ebene

  • icat ermöglicht Dateneinheiten einer Datei anhand ihrer Metadatenadressen zu extrahieren.
  • ifind findet zu einem gegebenen Dateinamen die entsprechenden Metadaten oder die Metadaten die zu einer bestimmten Dateneinheit verweisen.
  • ils listet die Metadatenstrukturen und deren Inhalt auf.
  • istat listet Statistiken und Details zu einer gegebenen Metadatenstruktur auf.

Dateneinheit Ebene

  • blkcat extrahiert den Inhalt einer bestimmten Dateneinheit.
  • blkls kann Details zu Dateneinheiten auflisten und den un-allozierten Speicherplatz eines Dateisystems extrahieren.
  • blkstat zeigt Statistiken zu einer gegebenen Dateneinheit an.
  • blkcalc berechnet den Ort an dem Daten am Originaldatenträger zu finden sind, die am Image im un-allozierten Speicherbereich gefunden wurden.

Dateisystemjournal Ebene

  • jcat zeigt den Inhalt eines gegebenen Journal-Blocks an.
  • jls listet die Einträge im Dateisystemjournal auf.
  • mmls zeigt das Layout eines Dateisystems an. Es listet dabei auch nicht allokierte Speicherbereiche auf und macht Angaben über die Typen, Positionen und Größen der Partitionen.

Speicherabbild

  • img_stat zeigt Details über das Dateisystem-Image an.
  • img_cat zeigt die Rohdaten des Dateisystem-Images an.

Sonstiges

  • mactime erstellt eine Zeitlinie aus den Ausgaben von ils und fls.
  • sorter sortiert Dateien anhand ihrer Dateitypen und überprüft ihre Dateierweiterung und führt Hashdatenbankvergleiche durch.
  • sigfind sucht Binärwerte in einer Dateistruktur.

Referenzen

Weblinks