The Sleuth Kit
The Sleuth Kit ist eine forensische Software-Sammlung für die Kommandozeile von informationstechnischen Systemen. Mit Hilfe dieser ist es möglich verschiedenste Informationen über ein Computersystem oder ein Speicherabbild (z. B. im Zuge einer manuellen forensischen Analyse) zu erhalten. Eine manuell durchgeführte Analyse oder Teilanalyse von Daten bringt meist genaue Informationen über die Verwendung der Systeme und der darauf enthaltenen Informationen.
| The Sleuth Kit
| |
|---|---|
 Ausgabe einer kleinen Image Analyse mit Sleuthkit | |
| Basisdaten
| |
| Hauptentwickler | Brian Carrier |
| Entwickler | Brian Carrier |
| Aktuelle Version | 4.12.1[1] (29. August 2023) |
| Betriebssystem | Linux, Unix, Mac OS X, Windows |
| Programmiersprache | C[2], Perl[3] |
| Kategorie | Forensische Software |
| Lizenz | Lizenzbedingungen |
| deutschsprachig | nein |
| sleuthkit.org | |
Es ist möglich, einzelne Untersuchungsschritte miteinander in Skripten zu automatisieren. Dadurch ist eine gezielte und beschleunigte Verwendung zur Untersuchung möglich. Diese Funktionalität wird auch in der grafischen Benutzeroberfläche, dem sogenannten Autopsy Forensic Browser verwendet.
Sleuth Kit unterstützt dabei folgende Dateisysteme: NTFS, FAT, UFS 1, UFS 2, Ext2, Ext3, Ext4, HFS, YAFFS2 und ISO 9660.[4]
Die einzelnen Werkzeuge Bearbeiten
In der Sammlung Sleuth Kit sind eine Vielzahl an thematisch unterschiedlichen Einzelprogrammen enthalten.
Dateisystem Ebene Bearbeiten
- fsstat zeigt Details zum untersuchten Dateisystem an. Dazu zählen Größenangaben, Layout und Bezeichnungen.
Dateinamen Ebene Bearbeiten
- ffind untersucht die Dateistrukturen und findet allozierte und un-allozierte Dateinamen, welche auf Metadatenstrukturen verweisen.
- fls listet allozierte und gelöschte Dateien innerhalb eines gegebenen Verzeichnisses auf.
Metadaten Ebene Bearbeiten
- icat ermöglicht Dateneinheiten einer Datei anhand ihrer Metadatenadressen zu extrahieren.
- ifind findet zu einem gegebenen Dateinamen die entsprechenden Metadaten oder die Metadaten die zu einer bestimmten Dateneinheit verweisen.
- ils listet die Metadatenstrukturen und deren Inhalt auf.
- istat listet Statistiken und Details zu einer gegebenen Metadatenstruktur auf.
Dateneinheit Ebene Bearbeiten
- blkcat extrahiert den Inhalt einer bestimmten Dateneinheit.
- blkls kann Details zu Dateneinheiten auflisten und den un-allozierten Speicherplatz eines Dateisystems extrahieren.
- blkstat zeigt Statistiken zu einer gegebenen Dateneinheit an.
- blkcalc berechnet den Ort an dem Daten am Originaldatenträger zu finden sind, die am Image im un-allozierten Speicherbereich gefunden wurden.
Dateisystemjournal Ebene Bearbeiten
- jcat zeigt den Inhalt eines gegebenen Journal-Blocks an.
- jls listet die Einträge im Dateisystemjournal auf.
- mmls zeigt das Layout eines Dateisystems an. Es listet dabei auch nicht allokierte Speicherbereiche auf und macht Angaben über die Typen, Positionen und Größen der Partitionen.
Speicherabbild Bearbeiten
- img_stat zeigt Details über das Dateisystem-Image an.
- img_cat zeigt die Rohdaten des Dateisystem-Images an.
Sonstiges Bearbeiten
- mactime erstellt eine Zeitlinie aus den Ausgaben von ils und fls.
- sorter sortiert Dateien anhand ihrer Dateitypen und überprüft ihre Dateierweiterung und führt Hashdatenbankvergleiche durch.
- sigfind sucht Binärwerte in einer Dateistruktur.
Einzelnachweise Bearbeiten
- ↑ Release 4.12.1. 29. August 2023 (abgerufen am 19. September 2023).
- ↑ The sleuthkit Open Source Project on Open Hub: Languages Page. In: Open Hub. (abgerufen am 3. September 2018).
- ↑ www.sleuthkit.org. (abgerufen am 7. November 2018).
- ↑ Funktionalität / Featureliste
Weblinks Bearbeiten
- Offizielle Projekt-Website (englisch)