The Sleuth Kit Grundlagen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Grundsätzliches

  • The Sleuth Kit ist eine forensische Software-Sammlung für die Kommandozeile von informationstechnischen Systemen.
  • Mit Hilfe dieser ist es möglich verschiedenste Informationen über ein Computersystem oder ein Speicherabbild zu erhalten.
  • Eine manuell durchgeführte Analyse oder Teilanalyse von Daten bringt meist genaue Informationen über die Verwendung der Systeme und der darauf enthaltenen Informationen.
  • Es ist möglich einzelne Untersuchungsschritte miteinander in Skripten zu automatisieren.
  • Dadurch ist eine gezielte und beschleunigte Verwendung zur Untersuchung möglich.
  • Diese Funktionalität wird auch in der grafischen Benutzeroberfläche, dem sogenannten Autopsy Forensic Browser verwendet.
  • Sleuth Kit unterstützt dabei folgende Dateisysteme: NTFS, FAT, UFS 1, UFS 2, Ext2, Ext3, Ext4, HFS, YAFFS2 und ISO 9660.

Die einzelnen Werkzeuge

In der Sammlung Sleuth Kit sind eine Vielzahl an thematisch unterschiedlichen Einzelprogrammen enthalten.

Dateisystem Ebene

  • fsstat zeigt Details zum untersuchten Dateisystem an. Dazu zählen Größenangaben, Layout und Bezeichnungen.

Dateinamen Ebene

  • ffind untersucht die Dateistrukturen und findet allozierte und un-allozierte Dateinamen, welche auf Metadatenstrukturen verweisen.
  • fls listet allozierte und gelöschte Dateien innerhalb eines gegebenen Verzeichnisses auf.

Metadaten Ebene

  • icat ermöglicht Dateneinheiten einer Datei anhand ihrer Metadatenadressen zu extrahieren.
  • ifind findet zu einem gegebenen Dateinamen die entsprechenden Metadaten oder die Metadaten die zu einer bestimmten Dateneinheit verweisen.
  • ils listet die Metadatenstrukturen und deren Inhalt auf.
  • istat listet Statistiken und Details zu einer gegebenen Metadatenstruktur auf.

Dateneinheit Ebene

  • blkcat extrahiert den Inhalt einer bestimmten Dateneinheit.
  • blkls kann Details zu Dateneinheiten auflisten und den un-allozierten Speicherplatz eines Dateisystems extrahieren.
  • blkstat zeigt Statistiken zu einer gegebenen Dateneinheit an.
  • blkcalc berechnet den Ort an dem Daten am Originaldatenträger zu finden sind, die am Image im un-allozierten Speicherbereich gefunden wurden.

Dateisystemjournal Ebene

  • jcat zeigt den Inhalt eines gegebenen Journal-Blocks an.
  • jls listet die Einträge im Dateisystemjournal auf.
  • mmls zeigt das Layout eines Dateisystems an. Es listet dabei auch nicht allokierte Speicherbereiche auf und macht Angaben über die Typen, Positionen und Größen der Partitionen.

Speicherabbild

  • img_stat zeigt Details über das Dateisystem-Image an.
  • img_cat zeigt die Rohdaten des Dateisystem-Images an.

Sonstiges

  • mactime erstellt eine Zeitlinie aus den Ausgaben von ils und fls.
  • sorter sortiert Dateien anhand ihrer Dateitypen und überprüft ihre Dateierweiterung und führt Hashdatenbankvergleiche durch.
  • sigfind sucht Binärwerte in einer Dateistruktur.


Quelle

Abgerufen von „http://wiki.ixheim.de/index.php?title=The_Sleuth_Kit_Grundlagen&oldid=63196