Sleuth Kit Tools: Unterschied zwischen den Versionen

Dateisystem-Werkzeuge

Vollautomatische Werkzeuge

Diese Werkzeuge integrieren die Volumen- und Dateisystemfunktionalität. Anstatt nur ein einzelnes Dateisystem zu analysieren, nehmen diese Werkzeuge ein Festplattenabbild als Eingabe, identifizieren die Volumen und verarbeiten die Inhalte.

• tsk_comparedir: Vergleicht eine lokale Verzeichnisstruktur mit dem Inhalt eines rohen Geräts (oder Festplattenabbilds). Dies kann verwendet werden, um Rootkits zu erkennen.
• tsk_gettimes: Extrahiert alle zeitlichen Daten aus dem Abbild, um eine Zeitleiste zu erstellen. Entspricht dem Ausführen von fls mit der Option '-m'.
• tsk_loaddb: Lädt die Metadaten aus einem Abbild in eine SQLite-Datenbank. Dies ermöglicht es anderen Werkzeugen, in einer Vielzahl von Sprachen leicht geschrieben zu werden und Zugriff auf die Abbildinhalte zu erhalten.
• tsk_recover: Extrahiert die nicht zugeordneten (oder zugeordneten) Dateien aus einem Festplattenabbild in ein lokales Verzeichnis.

Dateisystem-Schicht-Werkzeuge

Diese Dateisystem-Werkzeuge verarbeiten allgemeine Dateisystemdaten wie das Layout, die Allokationsstrukturen und Bootblöcke.

• fsstat: Zeigt Dateisystemdetails und -statistiken einschließlich Layout, Größen und Labels an.

Dateinamen-Schicht-Werkzeuge

Diese Dateisystem-Werkzeuge verarbeiten die Dateinamensstrukturen, die sich typischerweise im übergeordneten Verzeichnis befinden.

• ffind: Findet zugeordnete und nicht zugeordnete Dateinamen, die auf eine bestimmte Metadatenstruktur verweisen.
• fls: Listet zugeordnete und gelöschte Dateinamen in einem Verzeichnis auf.

Metadaten-Schicht-Werkzeuge

Diese Dateisystem-Werkzeuge verarbeiten die Metadatenstrukturen, die die Details einer Datei speichern. Beispiele für diese Struktur sind Verzeichniseinträge in FAT, MFT-Einträge in NTFS und Inodes in ExtX und UFS.

• icat: Extrahiert die Dateneinheiten einer Datei, die durch ihre Metadatenadresse angegeben wird (anstatt durch den Dateinamen).
• ifind: Findet die Metadatenstruktur, die einen bestimmten Dateinamen zugeordnet hat, oder die Metadatenstruktur, die auf eine bestimmte Dateneinheit verweist.
• ils: Listet die Metadatenstrukturen und deren Inhalte in einem durch Pipes getrennten Format auf.
• istat: Zeigt die Statistiken und Details zu einer bestimmten Metadatenstruktur in einem leicht lesbaren Format an.

Daten-Einheiten-Schicht-Werkzeuge

Diese Dateisystem-Werkzeuge verarbeiten die Dateneinheiten, in denen der Dateinhalt gespeichert ist. Beispiele für diese Schicht sind Cluster in FAT und NTFS sowie Blöcke und Fragmente in ExtX und UFS.

• blkcat: Extrahiert den Inhalt einer bestimmten Dateneinheit.
• blkls: Listet die Details zu Dateneinheiten auf und kann den nicht zugeordneten Speicherplatz des Dateisystems extrahieren.
• blkstat: Zeigt die Statistiken zu einer bestimmten Dateneinheit in einem leicht lesbaren Format an.
• blkcalc: Berechnet, wo Daten im nicht zugeordneten Speicherplatz-Abbild (von blkls) im ursprünglichen Abbild vorhanden sind. Dies wird verwendet, wenn Beweise im nicht zugeordneten Speicherplatz gefunden werden.

Dateisystem-Journal-Werkzeuge

Diese Dateisystem-Werkzeuge verarbeiten das Journal, das einige Dateisysteme haben. Das Journal zeichnet die Metadaten (und manchmal die Inhalte) der Updates auf, die gemacht werden. Dies könnte helfen, kürzlich gelöschte Daten wiederherzustellen. Beispiele für Dateisysteme mit Journals sind Ext3 und NTFS.

• jcat: Zeigt den Inhalt eines spezifischen Journalblocks an.
• jls: Listet die Einträge im Dateisystem-Journal auf.

Volumen-System-Werkzeuge

Diese Werkzeuge nehmen ein Festplatten- (oder anderes Medien-) Abbild als Eingabe und analysieren dessen Partitionsstrukturen. Beispiele umfassen DOS-Partitionen, BSD-Disklabels und die Sun Volume Table of Contents (VTOC). Diese können verwendet werden, um versteckte Daten zwischen Partitionen zu finden und den Dateisystem-Offset für die The Sleuth Kit-Werkzeuge zu identifizieren. Die Medienverwaltungswerkzeuge unterstützen DOS-Partitionen, BSD-Disklabels, Sun VTOC und Mac-Partitionen.

• mmls: Zeigt das Layout einer Festplatte an, einschließlich der nicht zugeordneten Bereiche.
• mmstat: Zeigt Details zu einem Volumensystem an (typischerweise nur den Typ).
• mmcat: Extrahiert den Inhalt eines spezifischen Volumens zu STDOUT.

Abbild-Datei-Werkzeuge

Diese Schicht enthält Werkzeuge für das Abbild-Dateiformat. Zum Beispiel, wenn das Abbildformat ein geteiltes Abbild oder ein komprimiertes Abbild ist.

• img_stat: Zeigt die Details des Abbildformats an.
• img_cat: Zeigt den rohen Inhalt einer Abbilddatei an.

Festplatten-Werkzeuge

Diese Werkzeuge können verwendet werden, um einen Host Protected Area (HPA) auf einer ATA-Festplatte zu erkennen und zu entfernen. Ein HPA könnte verwendet werden, um Daten zu verstecken, sodass sie während einer Erfassung nicht kopiert werden. Diese Werkzeuge sind derzeit nur für Linux verfügbar.

• disk_sreset: Dieses Werkzeug wird vorübergehend ein HPA entfernen, falls eines existiert. Nachdem die Festplatte zurückgesetzt wurde, wird das HPA zurückkehren.
• disk_stat: Dieses Werkzeug zeigt an, ob ein HPA existiert.

Andere Werkzeuge

• hfind: Verwendet einen binären Suchalgorithmus, um Hashes in den NIST NSRL, Hashkeeper und benutzerdefinierten Hash-Datenbanken, die durch md5sum erstellt wurden, nachzuschlagen.
• mactime: Nimmt Eingaben von den Werkzeugen fls und ils, um eine Zeitleiste der Dateiaktivität zu erstellen.
• sorter: Sortiert Dateien basierend auf ihrem Dateityp und führt Erweiterungsüberprüfungen und Hash-Datenbank-Lookups durch.
• sigfind: Sucht nach einem binären Wert an einem bestimmten Offset. Nützlich zum Wiederherstellen verlorener Datenstrukturen.